- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
H3C无线光网络最佳实践
Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知
图1-1 PON方案典型组网
PON的网络典型组网中:
· OLT(Optical Line Terminal,光线路终端):核心设备,用于统一管理ONU,并将接入业务汇聚和传递到IP网。
· ONU(Optical Network Unit,光网络单元):用户端设备,负责响应OLT发出的管理命令,并将用户数据转发到OLT。
因为该方案中的分光器无需供电,所以设备间无需空调,因此适用于弱电间空间小、改造困难,以及供电困难的部署环境。该方案优势如下:
· POL(无源光纤局域网)方案不需要为汇聚层和接入层设备集中供电,不占用楼层汇聚机房空间,安全性高、相比全光以太网交换机方案,部署更简单。
· 光纤入室,终端PON ONU和AP本地取电,不需单独部署集中供电线缆。用户可以根据实际需求同时部署带PoE供电功能的PON ONU,为摄像头、AP等PoE受电设备供电,从而实现光电终端混合接入。
· 部署PON-AP(ONU融合AP),实现有线无线一体化。
· 核心层交换机机框安装实现OLT功能的业务板,实现以太网和POL(无源光纤局域网)网络的融合。
我司无线PON网络主要存在两种AP部署方式,
· ONU与AP一体设备
· 普通AP通过网线连接ONU
图1-2 PON方案典型组网设备
图1-3 PON方案典型组网设备
以太光网络典型组网如图1-4所示,针对教室、办公室、酒店房间、厂房车间等使用场景,该方案提供高带宽、低时延的网络接入服务。在该组网中:
· 通过部署SDN一体机实现全光网络的统一管理。
· 通过统一运维,可以智能诊断故障、分析链路质量、预测光模块生命周期等,有效地提升网络质量。
· 通过部署全光汇聚以太网交换机(又叫光主机),上行带宽可达到10G/40G/100G,满足教学等场景对上行带宽的要求。
· 接入侧可以部署全光设备和光口AP,实现无线网络接入。
· 用户可以根据实际需求在汇聚侧和接入侧之间,使用光电混合缆或者光纤连接。
· 当使用光电混合缆时,接入层交换机(又叫影终端)和光AP集中供电,在宿舍等场景下可实现断电不断网。
图1-5 以太光方案典型组网设备
AP安装的具体步骤请参考H3C官网对应设备的安装指导,特别注意点如下:
· ONU AP一体设备安装时,不仅要考虑AP侧的安装要求和注意事项,还需要考虑ONU的安装要求和注意事项。
· 普通AP通过网线连接ONU,推荐使用PoE方式对AP供电,可以选购ONU下行口支持PoE的款型对AP供电,AP的功耗需要在ONU的单口最大供电范围以内。对于ONU与AP一体设备,推荐使用电源适配器供电。
· 如果通过电源适配器供电,建议用户根据需要选购H3C公司指定的电源适配器。
· AP安装时,注意设备的通风散热,保证设备在正常温度下运行,AP的运行温度范围可参考H3C官网对应设备的安装指导。特别是使用电源适配器供电的AP,需要注意电源适配器与AP的距离,保证设备能够正常散热。
ONU安装的具体步骤需要参考官网对应产品的安装手册,特别注意点如下:
· ONU收到光信号太强可能会烧坏ONU,光信号太弱可能会导致ONU不能注册。ONU安装前需要检查光功率是否在ONU的收光范围内,用光功率计测量下功率大小,确保收光功率在ONU范围内。
图2-1 使用光功率计检查光功率
用光功率计测量下功率大小先确保OLT设备工作正常且OLT下行光纤连接正确。
具体ONU的收光功率范围请参考对应的ONU版本说明书。
· 检测光链路完好性时,用激光笔或者OTDR的时候注意断开ONU连接,从ONU端向上检测。
OTDR 是一种光纤测试仪,用于测试光通信网络的特性。 OTDR 旨在探测、定位和测量光纤链路任何位置上的事件。 OTDR 只需接入链路的一端,其工作方式类似于一维雷达系统。通过提供被测光纤的图形化迹线特征,用户可以获得整 个光纤链路的图形显示。
· 使用OTDR时注意:
a. 光时域反射仪(OTDR)在工作时会发射高能量光信号,因此在测试期间禁止用眼睛直接对着端口查看,避免灼伤眼睛。
b. 保持光时域反射仪(OTDR)测试口与光缆光口的清洁,避免造成测试无数据即光链路不能正常工作或者衰减测试不准确等现象。
c. 光时域反射仪(OTDR)测试口内置陶瓷芯,非常易碎,因此避免大力扭动与磕碰。
d. 在光时域反射仪(OTDR)的测试过程中,不允许存在出仪表发射的信号之外的信号,一是会干扰测试的准确性,二是会损坏光链路设备。
e. 选取适当的测试距离和脉冲宽度,在不知道光缆的长度时,可以先用仪表的自动测试功能,大致了解待测光缆的质量情况,然后再手动设置合理的测试范围和脉冲宽度等参数,用于精确定位光缆整体和各事件位置及损耗情况。
· 光纤走线不能受到挤压,有折叠时弯曲直径不能小于6cm,否则会导致不能正常传输光信号。
· 10G ONU型号如WA6320,ET908-H-P,ET904-H等有收光保护功能,如果前期因为光功率过强导致不能上线,PON口亮红灯,后期调整好光功率后,可以下电ONU再重新注册下。
· 施工时先对ONU设备上电,然后再接入光纤。10GE ONU配置时,此时若收光功率超过接收饱和光功率,为了保护PON口,ONU会关闭收光,同时LOS 指示灯红灯闪烁。即便如此如果光信号太强也可能无法保护器件而直接烧坏ONU。
· 10G对称ONU指的是ONU的上下行带宽都是10G,非对称是指ONU的上行带宽为1G,下行带宽为10G。
拓扑图中所标注端口为测试组网使用端口(标注端口便于后续配置文档理解),实际组网中可按需选择端口进行互联。
图3-1 全光组网
· 该组网为传统VLAN二层组网。
· 全光组网中,SeerEngine-Campus、vDHCP、EIA、WSM等组件通过L3交换机和网络设备的管理IP之间三层互通。
· AC和AP的网关均配置在核心交换机上,通过核心交换机实现AC和AP的三层互通。
· Portal认证的认证点推荐配置在核心交换机,MAC认证和802.1X认证的认证点可按需选择认证位置。
· 有线/无线用户的网关配置在核心交换机。
当前设备无Core、Distribution角色,设备支持的角色Core可以参考Spine设备,Distributin可以参考Leaf设备。
|
设备型号 |
设备类型 |
默认角色 |
支持的非默认角色 |
|
S10500X |
交换机 |
Spine |
Leaf/Access |
|
S7500X(可插OLT插卡) |
交换机 |
Leaf |
Spine/Access |
|
S5130S-EI S5130S-HI |
交换机 |
Access |
无 |
|
WX5540H |
AC |
/ |
/ |
|
LSUM1WCMX40RT |
插卡AC |
/ |
/ |
|
WA6636 |
AP |
/ |
/ |
|
WA6638i |
AP |
/ |
/ |
|
WA6528 |
AP |
/ |
/ |
|
WA6320H-XEPON |
AP |
/ |
/ |
|
ET904-H-P ET904-H-POE |
ONU |
/ |
/ |
|
ET908-H-P ET908-H-POE |
ONU |
/ |
/ |
|
ET908-H-PD |
ONU |
/ |
/ |
· 不同型号的ONU性能和规格不同,在做VLAN规划时,ONU下行口的VLAN,不要使用VLAN 1 to VLAN 24
· 无线管理网VLAN池:该类型的VLAN池用于为VLAN网络类型的隔离域下的无线AC、AP上线分配VLAN ID,推荐VLAN范围为4093。三层组网下,需要扩容VLAN池。
· M-LAG VLAN池:该类的VLAN池用于创建跨设备聚合,默认的VLAN值为2。传统网暂不支持M-LAG。
· 无线业务VLAN池:该类型的VLAN池用于为VLAN网络类型的隔离域下的无线用户分配VLAN ID,默认的VLAN范围为3501-3600。
· 有线业务VLAN池:该类型的VLAN池用于为VLAN网络类型的隔离域下的有线用户分配VLAN ID,默认的VLAN范围为101-3000。
· 安全组VLAN池:该类型的VLAN池用于VXLAN网络类型的隔离域下的安全组分配VLAN ID,实现用户的接入,默认的VLAN范围为3501~4000。
· 园区Access VLAN池:该类型的VLAN池用于VXLAN网络类型的Access设备上线后为其下发VLAN配置,默认的VLAN范围为101~3000。
表3-2 用户VLAN资源规划
|
规划项 |
默认VLNN池 |
说明 |
|
无线管理网VLAN池 |
4093 |
用于无线管理网二层网络域 |
|
有线业务VLAN池 |
101-3000 |
用于有线业务二层网络域 |
|
无线业务VLAN池 |
3501-3600 |
用于无线业务二层网络域 |
· DHCP server建议使用单独的服务器部署。
· 若现场使用的是5500X,100G插卡,则推荐使用集中转发。其他AC的情况下若AC性能许可,优先推荐集中转发。Vlan掩码建议21位以上,若有终端跨区域漫游需求,可以使用vlan-pool的方式实现
· 不同型号的ONU性能和规格不同,在做VLAN规划时,ONU下行口的VLAN,不要使用VLAN 1 to VLAN 24
· 由于不同型号ONU的性能差异,建议增加本地转发不同型号ONU的规划业务vlan的掩码大小的建议,AP管理地址不能与ONU默认管理地址冲突
OLT基于ONU的MAC地址、LOID或LOID+LOID密码对ONU合法性进行认证,并拒绝非法的ONU接入系统。只有将ONU绑定到OLT的ONU接口/ONU冗余接口,该ONU才能通过合法性认证,进而完成注册。ONU合法性认证通过后,OLT上对应的ONU接口/ONU冗余接口将变为up状态,称为该ONU“在线”。
可以通过以下方式绑定ONU到ONU接口/ONU冗余接口:
· 手动绑定ONU到ONU接口/ONU冗余接口:适合ONU数量较少时使用。
· 批量绑定ONU:使设备自动将当前未注册的ONU设备绑定到ONU接口/ONU冗余接口上,但对于之后新加入的ONU设备不再进行绑定。
批量绑定方式适用于网络环境最初建立时已确定ONU都是合法的,可以省去大量繁琐的绑定操作。为防止非法ONU自动注册,对于新加入的ONU,可以使用bind onu-id命令单独绑定。
· 自动绑定ONU:使设备自动将当前未注册的ONU设备绑定到ONU接口/ONU冗余接口上,并且对于之后新加入的ONU设备也进行自动绑定。
自动绑定方式适用于对OLT下面连接的ONU设备完全信任的情况。如果要解除某个ONU的绑定,需要先使用undo onu bind auto命令关闭ONU自动绑定功能,然后再OLT端口视图 下undo using onu命令用来删除ONU接口。
批量绑定ONU或自动绑定ONU时,如果设备上存在OLT冗余接口,优先使用ONU冗余接口来绑定ONU设备;当ONU接口/ONU冗余接口数量不足时,设备将自动创建这些逻辑接口来绑定ONU设备。
(1) 进入系统视图。
system-view
(2) 进入ONU接口视图。
interface onu interface-number
(3) 将当前ONU接口和ONU设备进行绑定。
bind onu-id { mac-address | loid loid | loid-password loid { cipher | simple } password }
缺省情况下,ONU接口未绑定任何ONU设备。
(1) 进入系统视图。
system-view
(2) 进入FTTH视图。
ftth
(3) 开启ONU批量绑定功能。
(分布式设备-独立运行模式)(集中式IRF设备)
onu bind batch [ slot slot-number ] [ bind-type { mac | loid | loid-password } ]
(分布式设备-IRF模式)
onu bind batch [ chassis chassis-number slot slot-number ] [ bind-type { mac | loid | loid-password } ]
缺省情况下,ONU批量绑定功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 进入FTTH视图。
ftth
(3) 开启ONU自动绑定功能。
(分布式设备-独立运行模式)(集中式IRF设备)
onu bind auto [ slot slot-number ] [ bind-type { mac | loid | loid-password }* ]
(分布式设备-IRF模式)
onu bind auto [ chassis chassis-number slot slot-number ] [ bind-type { mac | loid | loid-password }* ]
缺省情况下,ONU自动绑定功能处于关闭状态。
要求将ONU1(MAC地址为000f-e200-0031)和ONU2(MAC地址为000f-e200-3749)分别与Onu3/0/1:1接口和Onu3/0/1:2接口进行绑定。
图3-2 ONU设备和ONU接口绑定组网图
# 创建ONU接口Onu3/0/1:1和Onu3/0/1:2,并将ONU1与Onu3/0/1:1接口进行绑定,ONU2与Onu3/0/1:2接口进行绑定。
<OLT> system-view
[OLT] interface olt 3/0/1
[OLT-Olt3/0/1] using onu 1 to 2
[OLT-Olt3/0/1] quit
[OLT] interface onu 3/0/1:1
[OLT-Onu3/0/1:1] bind onu-id 000f-e200-0031
[OLT-Onu3/0/1:1] quit
[OLT] interface onu 3/0/1:2
[OLT-Onu3/0/1:2] bind onu-id 000f-e200-3749
[OLT-Onu3/0/1:2] quit
# 当ONU1和ONU2上电后, 查看ONU是否上线。
# 显示指定slot上的ONU状态信息。
<OLT> display onu status slot 1
---------------------------------- Olt1/0/1 ---------------------------------
MAC Port Model State KeepTime Description
000f-e200-0031 Onu3/0/1:1 ET254-G-S Up 2625 Onu3/0/1:1 Interface
000f-e200-3749 Onu3/0/1:2 ET254-G-S Up 2625 Onu3/0/1:2 Interface
表3-3 ONU状态表
|
State |
ONU状态,取值包括: · 若ONU未上电,但已和ONU接口绑定,则显示为Offline。此时Time表示ONU的离线时间。 · 若ONU已上电,且已经和ONU接口绑定,则显示为Up。此时Time表示ONU的在线时间。 · 若ONU已经绑定,但ONU接口的数据链路层协议状态为关闭,则显示为Down。此时KeepTime显示为N/A,但ONU仍视为在线,在线时间会继续累积。 |
ONU接收光功率必须小于ONU饱和光功率,大于ONU接收灵敏度,否则ONU不能正常上线工作。
即必须保证:(ONU接收灵敏度)<( (OLT实际发送光功率)–(光链路损耗总和) )<(ONU饱和光功率)。如果出现功率超过或者接近饱和光功率问题,可以通过增加光衰解决。
一般都在OLT上加光衰,使ONU收光光功率保持在合理范围。
ONU收光功率取值范围以-15~-20dBm为最优。
图3-3 光衰器
如果同一OLT口下所有ONU的收光大于-10dBm,则光衰建议安装在OLT侧;如果同一OLT端口下只有个别ONU收光大于-10dBm,则光衰建议安装在ONU侧。
一般ONU根据时隙发光,所以需要先查看ONU的光功率以后才能看到OLT口的功率,一般都查看ONU光功率,不关注OLT光功率,该方式需在ONU在线的情况下查看:
[OLT] display transceiver diagnosis interface Onu 0/0/11:7
Onu0/0/11:7 transceiver diagnostic information:
Current ONU optical module diagnostic parameters:
Temp(£C) Voltage(V) Bias(mA) RX power(dBm) TX power(dBm)
38.70 3.32 27 -17.21 5.93
OLT SFP+ diagnostic parameters on this ONU:
RX power: -17.08 dBm
通过LAN口登录ONU设备的页面,可以查看收发光功率。
图3-4 查看光功率
在EPON系统中,ONU设备种类多样,数目繁多,加之不同类型的ONU升级所需升级文件不同,因此ONU设备的升级工作量很大。为了提高ONU升级的效率,降低每个ONU下发命令行对系统资源的占用,设备除支持单独升级一台ONU的功能外,还提供了按类型和OLT端口对ONU进行批量升级的功能。目前支持如下3种升级方式:
· 按类型升级所有ONU:FTTH视图下,对该交换机下挂的指定类型的所有ONU进行升级(可以多次配置按类型指定升级文件,实现对不同类型ONU同时进行升级)。
配置升级交换机下指定类型的ONU后,如果新创建的ONU接口/ONU冗余接口对应的ONU符合指定类型且上线后,交换机会自动对其进行升级。
· 升级单台ONU:ONU接口/ONU冗余接口视图下,针对单个ONU下发ONU升级命令。
· 升级OLT端口下的所有ONU:OLT视图下,针对指定OLT端口下所有已经创建的ONU接口下发ONU升级命令。
配置升级OLT端口下的所有ONU后,如果新上线的ONU所对应的端口在升级命令配置之前已创建,且该ONU符合指定类型,则该ONU能直接升级成功。如果对应ONU接口在升级命令配置之后创建,则不升级。
鉴于整网同类型ONU版本的统一维护效率高、操作简单,建议用户优先选择“按类型升级所有ONU”。
在进行升级之前,需要注意:
· 确保ONU升级文件已经上传到设备的主用主控板上。
· 为确保新上线的ONU能自动升级,建议把升级文件同时上传到主用主控板和备用主控板,以防止交换机主备倒换后原备用主控板没有升级文件可用。
· 确保升级文件与ONU的类型匹配。如果ONU和升级文件不匹配,会导致升级失败。如:在OLT端口视图下指定了升级ET704-A类型ONU的升级文件,则该OLT端口下挂的其他类型ONU将不能成功升级。
· 端口下配置的升级命令优先级高于FTTH视图下的升级命令。例如:
¡ ONU接口Onu3/0/1:1对应的ONU为A类型,在FTTH视图下配置了A类型ONU的升级文件1.app,同时在Onu3/0/1:1接口视图下配置了升级文件2.app,则该ONU将选择文件2.app进行升级。
¡ 如果此时取消了Onu3/0/1:1接口下的配置,按类型升级不能立刻生效,只有当此ONU设备下次成功注册并且对应端口变为up状态以后系统才会对它执行升级操作。
配置start-time和duration参数时,建议选择在终端用户使用空闲时间内进行ONU版本升级,例如凌晨;单次升级持续时间建议配置为30分钟~360分钟之间。
配置protocol-type参数时,H3C的ONU设备建议选择H3C私有升级协议,其他厂商的ONU设备建议选择CTC升级协议。10G-EPON单板切换到128-ONU模式后,该单板连接的ONU不支持使用H3C私有升级协议升级。
按类型升级所有ONU时,如果设备上存在OLT冗余接口,需要注意:
· 为避免ONU升级失败,升级期间请不要在OLT冗余接口中添加或删除成员端口。
· 升级期间,如果OLT冗余接口的成员端口发生倒换(例如激活端口进入down状态),可能会导致ONU升级失败。
在升级过程中,需要注意:
· 在ONU软件更新过程中,建议用户不要对ONU断电,以免更新失败。升级文件传送到ONU后,ONU将自动重启完成升级过程。
· 升级ONU的命令在执行后均会保存到设备的配置文件中。如果用户只想升级当前在线的ONU,而不升级不在线ONU,可以先执行相应的升级命令,确认当前在线的ONU均已完成升级后,再对升级命令进行undo操作。
· 如果在ONU设备不在线或down状态进行了ONU升级配置,ONU设备需要成功注册且对应端口变为up后才会执行升级操作。
(1) 进入系统视图。
system-view
(2) 进入FTTH视图。
ftth
(3) 按类型升级所有ONU。
update onu type onu-type [ protocol-type { h3c | ctc } ] filename filename [ start-time start-time duration minutes ]
本命令仅对ONU接口/ONU冗余接口下未配置升级命令且匹配本命令所指定类型的ONU有效
最多可同时对64种类型的ONU进行升级,即可以通过update onu type命令为64种不同类型的ONU指定升级文件。
(1) 进入系统视图。
system-view
(2) 进入ONU接口视图。
interface onu interface-number
(3) 发送升级命令到该ONU接口。
update onu [ protocol-type { h3c | ctc } ] filename filename [ start-time start-time duration minutes ]
(1) 进入系统视图。
system-view
(2) 进入OLT接口视图。
interface olt interface-number
(3) 对该OLT端口下所有已创建的ONU接口发送升级命令。
update onu [ protocol-type { h3c | ctc } ] filename filename [ start-time start-time duration minutes ]
通过CTC可以升级单台设备较快,每台设备升级大概3-5分钟,但是CTC协议不支持批量升级,ONU设备较多时升级较慢。通过H3C协议升级可以按照一个OLT口,一个OLT下全部ONU升级完大概8-10分钟左右。
本例中以升级Onu3/0/1:1对应的A型ONU到110版本为例进行说明。
图3-5 升级单台ONU组网
# 上传升级文件a110.app到交换机主用主控板和备用主控板。(略)
# 升级Onu3/0/1:1对应的ONU到110版本。
<OLT> system-view
[OLT] interface onu 3/0/1:1
[OLT-Onu3/0/1:1] update onu filename a110.app
Update flash:/ a110.app?[Y/N]:y
Info: Download file to onu may take a long time, please wait...
Please wait while the firmware is being burnt, and check the software version after re-registration!
[OLT-Onu3/0/1:1] quit
# 查看ONU是否升级完成,显示指定slot上的ONU升级信息。
<Sysname> display epon onu-update slot 3
---------------------------------- Olt1/0/1 ---------------------------------
Port Model Version Protocol State
Onu3/0/1:3 ET924-H-POE 105 H3C Not Configured
Onu3/0/1:4 ET924-H-POE 105 H3C Not Configured
Onu3/0/1:5 ET916-H-A 107 H3C Not Configured
Onu3/0/1:6 ET908-H-P 106 H3C Not Configured
Onu3/0/1:1 ET254-G-S 110 H3C Not Configured
表3-4 ONU升级状态表
|
State |
ONU升级状态,取值包括: · Not configured:未配置升级ONU。 · Configured:已配置升级ONU,升级命令等待下发到对应的ONU。 · Updating(xx%):正在升级ONU,xx为当前进度的百分比。 · Active:升级文件的版本校验成功,正在重启ONU。如果ONU重启失败,则升级失败、版本回退。 · Update canceled:向ONU发送升级文件过程中,取消升级配置。 · Reconfigured:向ONU发送升级文件过程中,使用其他升级文件重新下发升级命令。 · Successful:ONU升级成功。 · Failed:ONU升级失败。 · Unsupported protocol:ONU不支持指定的升级协议。 |
版本较老的ONU只支持CTC方式升级,新版本支持H3C方式升级,默认是H3C方式升级。
如图3-5所示,集中式转发架构下,普通AP通过以太网线连接到ONU,ONU和ONU-AP上行通过光纤以及分光器连接到OLT设备的OLT接口,使用以太网线缆将OLT设备、AC连接到核心交换机,AC和AP之间通过二层网络建立连接。具体要求如下:
· 无线客户端Client通过VLAN 3501接入网络;
· AC属于VLAN 4093,AC和AP之间通过二层网络建立连接。
本组网中的VLAN以及IP地址规划仅为示例,实际环境中请根据需求进行规划。
图3-6 AP二层注册组网图
· 在核心交换机上配置DHCP server功能,为AP和无线客户端分配IP地址。
· AC和AP之间通过二层网络能够互通。
· 在AC上配置AP上线。
· 配置AP的序列号时请确保该序列号与AP唯一对应。
· Hybrid端口和Trunk端口之间不能直接切换。只能先将该端口配置为Access端口(port link-type access),再配置为Hybrid或Trunk端口。
(1) 配置AC的接口
# 创建VLAN 4093及其对应的VLAN接口,并为该接口配置IP地址。AP将获取该IP地址与AC建立CAPWAP隧道。
<AC> system-view
[AC] vlan 4093
[AC-vlan4093] quit
[AC] interface vlan-interface 4093
[AC-Vlan-interface4093] ip address 192.168.10.2 255.255.255.0
[AC-Vlan-interface4093] quit
# 创建VLAN 3501,Client使用该VLAN接入无线网络。
[AC] vlan 3501
[AC-vlan3501] quit
# 配置AC和Core switch相连的接口GigabitEthernet1/0/1为Trunk类型,禁止VLAN 1报文通过,允许VLAN 4093和VLAN 3501通过。
[AC] interface gigabitethernet 1/0/1
[AC-GigabitEthernet1/0/1] port link-type trunk
[AC-GigabitEthernet1/0/1] undo port trunk permit vlan 1
[AC-GigabitEthernet1/0/1] port trunk permit vlan 4093 3501
[AC-GigabitEthernet1/0/1] quit
(2) 配置无线服务
# 创建无线服务模板1,并进入无线服务模板视图。
[AC] wlan service-template 1
# 配置SSID为service。
[AC-wlan-st-1] ssid service
# 配置身份认证与密钥管理模式为PSK模式,配置PSK密钥为明文字符串12345678。
[AC-wlan-st-1] akm mode psk
[AC-wlan-st-1] preshared-key pass-phrase simple 12345678
# 配置加密套件为CCMP,安全信息元素为RSN。
[AC-wlan-st-1] cipher-suite ccmp
[AC-wlan-st-1] security-ie rsn
# 配置客户端数据报文转发位置为AC。(如果客户端数据报文的缺省转发位置与本配置相同,请跳过此步骤)
[AC-wlan-st-1] client forwarding-location ac
# 使能服务模板。
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
(3) 配置AP
在大规模组网时,推荐在AP组内进行配置。
# 创建手工AP,名称为officeap,型号名称为WA6320。
[AC] wlan ap officeap model WA6320
# 设置AP的序列号为219801A28N819CE0002T。
[AC-wlan-ap-officeap] serial-id 219801A28N819CE0002T
[AC-wlan-ap-officeap] quit
# 创建AP组group1,并配置AP名称入组规则。
[AC] wlan ap-group group1
[AC-wlan-ap-group-group1] ap officeap
# 将无线服务模板1绑定到AP组group1下的Radio 1上,并指定客户端上线的VLAN为VLAN 3501。
[AC-wlan-ap-group-group1] ap-model WA6320
[AC-wlan-ap-group-group1-ap-model-WA6320] radio 1
[AC-wlan-ap-group-group1-ap-model-WA6320-radio-1] service-template 1 vlan 3501
[AC-wlan-ap-group-group1-ap-model-WA6320-radio-1] radio enable
[AC-wlan-ap-group-group1-ap-model-WA6320-radio-1] quit
[AC-wlan-ap-group-group1-ap-model-WA6320] quit
[AC-wlan-ap-group-group1] quit
(1) 配置Core switch的接口
# 创建VLAN 4093,并配置IP地址,用于转发AC和AP间的CAPWAP隧道内的流量。
<Core switch> system-view
[Core switch] vlan 4093
[Core switch-vlan4093] quit
[Core switch] interface vlan-interface 4093
[Core switch-Vlan-interface4093] ip address 192.168.10.1 255.255.255.0
[Core switch-Vlan-interface4093] quit
# 创建VLAN 3501,并为该接口配置IP地址。Client使用该VLAN接入无线网络。
[Core switch] vlan 3501
[Core switch-vlan3501] quit
[Core switch] interface vlan-interface 3501
[Core switch-Vlan-interface3501] ip address 192.168.20.1 255.255.255.0
[Core switch-Vlan-interface3501] quit
# 配置Core switch和AC相连的接口GigabitEthernet1/0/1为Trunk类型,禁止VLAN 1报文通过,允许VLAN4093和VLAN 3501通过。
[Core switch] interface gigabitEthernet 1/0/1
[Core switch-GigabitEthernet1/0/1] port link-type trunk
[Core switch-GigabitEthernet1/0/1] undo port trunk permit vlan 1
[Core switch-GigabitEthernet1/0/1] port trunk permit vlan 4093 3501
[Core switch-GigabitEthernet1/0/1] quit
# 配置Core switch和OLT相连的接口GigabitEthernet1/0/2为Trunk类型,禁止VLAN 1报文通过,允许VLAN 4093通过。
[Core switch] interface gigabitEthernet 1/0/2
[Core switch-GigabitEthernet1/0/2] port link-type trunk
[Core switch-GigabitEthernet1/0/2] undo port trunk permit vlan 1
[Core switch-GigabitEthernet1/0/2] port trunk permit vlan 4093
[Core switch-GigabitEthernet1/0/2] quit
(2) 配置DHCP server
# 开启DHCP server功能。
[Core switch] dhcp enable
# 配置DHCP地址池1为AP分配地址范围为192.168.10.0/24,网关地址为192.168.10.1。
[Core switch] dhcp server ip-pool 1
[Core switch-dhcp-pool-1] network 192.168.10.0 mask 255.255.255.0
[Core switch-dhcp-pool-1] gateway-list 192.168.10.1
# 配置DHCP地址池1中不参与自动分配的IP地址为AC的VLAN4093的IP地址192.168.10.2。
[Core switch-dhcp-pool-1] forbidden-ip 192.168.10.2
[Core switch-dhcp-pool-1] quit
# 配置DHCP地址池2为Client分配地址范围为192.168.20.0/24,为Client分配的DNS服务器地址为网关地址(实际使用过程中请根据实际网络规划配置无线客户端的DNS服务器地址),网关地址为192.168.20.1。
[Core switch] dhcp server ip-pool 2
[Core switch-dhcp-pool-2] network 192.168.20.0 mask 255.255.255.0
[Core switch-dhcp-pool-2] gateway-list 192.168.20.1
[Core switch-dhcp-pool-2] dns-list 192.168.20.1
[Core switch-dhcp-pool-2] quit
(1) 配置OLT的接口
# 创建VLAN 4093,用于转发AC和AP间CAPWAP隧道内的流量。
<OLT> system-view
[OLT] vlan 4093
[OLT-vlan4093] quit
# 配置OLT和Core switch相连的接口GigabitEthernet1/0/1为Trunk类型,禁止VLAN 1报文通过,允许VLAN 4093通过。
[OLT] interface gigabitEthernet 1/0/1
[OLT-GigabitEthernet1/0/1] port link-type trunk
[OLT-GigabitEthernet1/0/1] undo port trunk permit vlan 1
[OLT-GigabitEthernet1/0/1] port trunk permit vlan 4093
[OLT-GigabitEthernet1/0/1] quit
# 配置OLT和ONU相连的接口OLT1/0/2为Trunk类型,允许VLAN 4093通过。
[OLT] interfac olt 1/0/2
[OLT-Olt1/0/2] port link-type trunk
[OLT-Olt1/0/2] port trunk permit vlan 4093
[OLT-Olt1/0/2] quit
(2) 配置ONU接口
# 进入Onu1/0/2:1接口视图,配置ONU接口的链路类型为Trunk,允许VLAN 4093通过。
[OLT] interface onu 1/0/2:1
[OLT-Onu1/0/2:1] port link-type trunk
[OLT-Onu1/0/2:1] port trunk permit vlan 4093
(3) 配置UNI接口
[OLT-Onu1/0/2:1] uni 1 vlan-mode tag pvid 4093
(1) 在AC上查看AP注册信息
# 在AC上使用命令display wlan ap all查看AP,可以看到AP的状态是R/M,表明AP已经成功注册到AC。
<AC> display wlan ap all
Total number of APs: 1
Total number of connected APs: 1
Total number of connected manual APs: 1
Total number of connected auto APs: 0
Total number of connected common APs: 1
Total number of connected WTUs: 0
Total number of inside APs: 0
Maximum supported APs: 3072
Remaining APs: 3071
Total AP licenses: 512
Local AP licenses: 512
Server AP licenses: 0
Remaining local AP licenses: 511
Sync AP licenses: 0
AP information
State : I = Idle, J = Join, JA = JoinAck, IL = ImageLoad
C = Config, DC = DataCheck, R = Run, M = Master, B = Backup
AP name AP ID State Model Serial ID
officeap 1 R/M WA6320 219801A28N819CE0002T
(2) 在AC上查看Client信息
# 在AC上使用命令display wlan client查看在线Client,可以看到Client已经连接到AP的Radio 1。
<AC> display wlan client
Total number of clients: 1
MAC address User name AP name R IP address VLAN
109a-dd9d-fc68 N/A officeap 1 192.168.20.4 3501
如图3-6所示,集中式转发架构下,普通AP通过以太网线连接到ONU,ONU和ONU-AP上行通过光纤以及分光器连接到OLT设备的OLT接口,使用以太网线缆将OLT设备、AC连接到核心交换机,AC和AP之间跨三层网络建立连接。具体要求如下:
· 无线客户端Client通过VLAN 3501接入网络;
· AC属于VLAN 4093,AP属于VLAN 4094,AC和AP之间跨三层网络建立连接。
本组网中的VLAN以及IP地址规划仅为示例,实际环境中请根据需求进行规划。
图3-7 AP三层注册组网图
· 在核心交换机上配置DHCP server功能,为AP和无线客户端分配IP地址,并配置AP通过option 43方式获取AC的IP地址。
· 配置路由信息,保证AC和AP之间跨三层网络互通。
· 在AC上配置AP上线。
· 配置AP的序列号时请确保该序列号与AP唯一对应。
· Hybrid端口和Trunk端口之间不能直接切换。只能先将该端口配置为Access端口(port link-type access),再配置为Hybrid或Trunk端口。
(1) 配置Core switch的接口
# 创建VLAN 4093和VLAN 4094,并配置IP地址,用于转发AC和AP间的CAPWAP隧道内的流量。
<Core switch> system-view
[Core switch] vlan 4093
[Core switch-vlan4093] quit
[Core switch] interface vlan-interface 4093
[Core switch-Vlan-interface4093] ip address 192.168.10.83 255.255.255.0
[Core switch-Vlan-interface4093] quit
[Core switch] vlan 4094
[Core switch-vlan4094] quit
[Core switch] interface vlan-interface 4094
[Core switch-Vlan-interface4094] ip address 192.168.40.1 255.255.255.0
[Core switch-Vlan-interface4094] quit
# 创建VLAN 3501,并为该接口配置IP地址。Client使用该VLAN接入无线网络。
[Core switch] vlan 3501
[Core switch-vlan3501] quit
[Core switch] interface vlan-interface 3501
[Core switch-Vlan-interface3501] ip address 192.168.20.1 255.255.255.0
[Core switch-Vlan-interface3501] quit
# 配置Core switch和AC相连的接口GigabitEthernet1/0/1为Trunk类型,允许VLAN4093和VLAN 3501通过。
[Core switch] interface gigabitEthernet 1/0/1
[Core switch-GigabitEthernet1/0/1] port link-type trunk
[Core switch-GigabitEthernet1/0/1] port trunk permit vlan 4093 3501
[Core switch-GigabitEthernet1/0/1] quit
# 配置Core switch和OLT相连的接口GigabitEthernet1/0/2为Trunk类型,禁止VLAN 1报文通过,允许VLAN 4094通过。
[Core switch] interface gigabitEthernet 1/0/2
[Core switch-GigabitEthernet1/0/2] port link-type trunk
[Core switch-GigabitEthernet1/0/2] undo port trunk permit vlan 1
[Core switch-GigabitEthernet1/0/2] port trunk permit vlan 4094
[Core switch-GigabitEthernet1/0/2] quit
(2) 配置DHCP server
# 开启DHCP server功能。
[Core switch] dhcp enable
# 配置DHCP地址池1为AP分配地址范围为192.168.40.0/24,网关地址为192.168.40.1。
[Core switch] dhcp server ip-pool 1
[Core switch-dhcp-pool-1] network 192.168.40.0 mask 255.255.255.0
[Core switch-dhcp-pool-1] gateway-list 192.168.40.1
# 配置DHCP Option43的内容为AC的IP地址192.168.10.1的十六进制。
[Core switch-dhcp-pool-1] option 43 hex 8007000001c0a80a01
[Core switch-dhcp-pool-1] quit
# 配置DHCP地址池2为Client分配地址范围为192.168.20.0/24,为Client分配的DNS服务器地址为网关地址(实际使用过程中请根据实际网络规划配置无线客户端的DNS服务器地址),网关地址为192.168.20.1。
[Core switch] dhcp server ip-pool 2
[Core switch-dhcp-pool-2] network 192.168.20.0 mask 255.255.255.0
[Core switch-dhcp-pool-2] gateway-list 192.168.20.1
[Core switch-dhcp-pool-2] dns-list 192.168.20.1
[Core switch-dhcp-pool-2] quit
(1) 配置OLT的接口
# 创建VLAN 4094,VLAN 4094为AP接入的VLAN。
<OLT> system-view
[OLT] vlan 4094
[OLT-vlan4094] quit
# 配置OLT与Core switch相连的接口GigabitEthernet1/0/1为Trunk类型,禁止VLAN 1报文通过,允许VLAN 4094通过。
[OLT] interface gigabitEthernet 1/0/1
[OLT-GigabitEthernet1/0/1] port link-type trunk
[OLT-GigabitEthernet1/0/1] undo port trunk permit vlan 1
[OLT-GigabitEthernet1/0/1] port trunk permit vlan 4094
[OLT-GigabitEthernet1/0/1] quit
# 配置OLT与ONU相连的接口OLT1/0/2为Trunk类型,允许VLAN 4094通过。
[OLT] interface olt 1/0/2
[OLT-Olt1/0/2] port link-type trunk
[OLT-Olt1/0/2] port trunk permit vlan 4094
[OLT-Olt1/0/2] quit
(2) 配置ONU接口
# 进入Onu1/0/2:1接口视图,配置ONU接口的链路类型为Trunk,允许VLAN 4094通过。
[OLT] interface onu 1/0/2:1
[OLT-Onu1/0/2:1] port link-type trunk
[OLT-Onu1/0/2:1] port trunk permit vlan 4094
(3) 配置UNI接口
[OLT-Onu1/0/2:1] uni 1 vlan-mode tag pvid 4094
(1) 配置AC的接口
# 创建VLAN 4093及其对应的VLAN接口,并为该接口配置IP地址。AP将通过DHCP option43方式获取该IP地址与AC建立CAPWAP隧道。
<AC> system-view
[AC] vlan 4093
[AC-vlan4093] quit
[AC] interface vlan-interface4093
[AC-Vlan-interface4093] ip address 192.168.10.1 255.255.255.0
[AC-Vlan-interface4093] quit
# 创建VLAN 3501,AC需要使用该VLAN转发无线客户端数据报文。
[AC] vlan 3501
[AC-vlan3501] quit
# 配置AC和Core switch相连的接口GigabitEthernet1/0/1为Trunk类型,禁止VLAN 1报文通过,允许VLAN 4093和VLAN 3501通过。
[AC] interface gigabitethernet 1/0/1
[AC-GigabitEthernet1/0/1] port link-type trunk
[AC-GigabitEthernet1/0/1] undo port trunk permit vlan 1
[AC-GigabitEthernet1/0/1] port trunk permit vlan 4093 3501
[AC-GigabitEthernet1/0/1] quit
(2) 配置三层路由
# 配置AC缺省路由下一跳为Core switch的IP地址为192.168.10.83。
[AC] ip route-static 0.0.0.0 0 24 192.168.10.83
(3) 配置无线服务
# 创建无线服务模板1,并进入无线服务模板视图。
[AC] wlan service-template 1
# 配置客户端数据报文转发位置为AC。(如果客户端数据报文的缺省转发位置与本配置相同,请跳过此步骤)
[AC–wlan-st-1] client forwarding-location ac
# 配置SSID为service。
[AC-wlan-st-1] ssid service
# 配置身份认证与密钥管理模式为PSK模式,配置PSK密钥为明文字符串12345678。
[AC-wlan-st-1] akm mode psk
[AC-wlan-st-1] preshared-key pass-phrase simple 12345678
# 配置加密套件为CCMP,安全信息元素为RSN。
[AC-wlan-st-1] cipher-suite ccmp
[AC-wlan-st-1] security-ie rsn
# 使能服务模板。
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
(4) 配置AP
在大规模组网时,推荐在AP组内进行配置。
# 创建手工AP,名称为ap1,型号名称为WA6320。
[AC] wlan ap ap1 model WA6320
# 设置AP的序列号为219801A28N819CE0002T。
[AC-wlan-ap-ap1] serial-id 219801A28N819CE0002T
[AC-wlan-ap-ap1] quit
# 创建AP组group1,设置AP名称入组规则
[AC] wlan ap-group group1
[AC-wlan-ap-group-group1] ap ap1
# 进入AP组的Radio 1视图,并将无线服务模板1绑定到Radio 1上,并指定客户端上线的VLAN为VLAN 3501。
[AC-wlan-ap-group-group1] ap-model WA6320
[AC-wlan-ap-group-group1-ap-model-WA6320] radio 1
[AC-wlan-ap-group-group1-ap-model-WA6320-radio-1] service-template 1 vlan 3501
# 开启Radio 1的射频功能。
[AC-wlan-ap-group-group1-ap-model-WA6320-radio-1] radio enable
[AC-wlan-ap-group-group1-ap-model-WA6320-radio-1] return
(1) 在AC上查看到AP注册信息
# 在AC上使用命令display wlan ap all查看AP,可以看到AP的状态是R/M,表明AP已经成功注册到AC。
<AC> display wlan ap all
Total number of APs: 1
Total number of connected APs: 1
Total number of connected manual APs: 1
Total number of connected auto APs: 0
Total number of connected common APs: 1
Total number of connected WTUs: 0
Total number of inside APs: 0
Maximum supported APs: 399
Remaining APs: 398
Total AP licenses: 512
Local AP licenses: 512
Server AP licenses: 0
Remaining local AP licenses: 511
Sync AP licenses: 0
AP information
State : I = Idle, J = Join, JA = JoinAck, IL = ImageLoad
C = Config, DC = DataCheck, R = Run, M = Master, B = Backup
AP name APID State Model Serial ID
ap1 1 R/M WA6320 219801A28N819CE0002T
(2) 在AC上查看Client信息
# 在AC上使用命令display wlan client查看在线Client,可以看到Client已经连接到AP的Radio 1。
<AC> display wlan client
Total number of clients: 1
MAC address User name AP name R IP address VLAN
90b9-311a-bef6 N/A ap1 1 192.168.20.3 3501
参考3.6.1 AP二层注册的配置方法和3.6.2 AP三层注册的配置方法中的配置即可。
如图3-7所示,普通AP通过以太网线连接到ONU,ONU和ONU-AP上行通过光纤以及分光器连接到OLT设备的OLT接口,AC和AP之间通过二层网络建立连接,在AC上配置本地转发功能,使客户端的数据流量不经过AC,直接由AP转发。具体要求如下:
· 核心交换机作为DHCP服务器为AP和Client分配IP地址。
· AP与AC使用VLAN 4093建立CAPWAP隧道,Client使用VLAN 3501接入无线网络。
本组网中的VLAN以及IP地址规划仅为示例,实际环境中请根据需求进行规划。
为了将AP的GigabitEthernet1/0/1接口加入本地转发的VLAN 3501,需要AC下发map-configuration文件。
· map-configuration文件的命令行后面不要出现Tab键或者空格,否则会出现该行配置不成功的情况。
· AP的配置需要根据具体AP的型号和序列号进行配置。
· 如果有备AC,请务必保证备AC上同步上传了map-configuration文件。
· Hybrid端口和Trunk端口之间不能直接切换。只能先将该端口配置为Access端口(port link-type access),再配置为Hybrid或Trunk端口。
apcfg.txt的内容,要求为文本文件,按照命令行配置的顺序编写文本文件上传至AC即可,AC与AP关联后,通过map-configuration命令下发至AP生效。从而完成对AP的配置。
# apcfg.txt配置文件为:
system-view
vlan 3501
quit
interface GigabitEthernet 1/0/1
port link-type trunk
port trunk permit vlan 3501
(1) 配置AC的接口
# 创建VLAN 4093及其对应的VLAN接口,并为该接口配置IP地址。AP将获取该IP地址与AC建立CAPWAP隧道。
<AC> system-view
[AC] vlan 4093
[AC-vlan4093] quit
[AC] interface vlan-interface 4093
[AC-Vlan-interface4093] ip address 192.168.10.2 255.255.255.0
[AC-Vlan-interface4093] quit
# 配置AC和Core switch相连的接口GigabitEthernet1/0/1为Trunk类型,禁止VLAN 1报文通过,允许VLAN 4093通过。
[AC] interface gigabitethernet 1/0/1
[AC-GigabitEthernet1/0/1] port link-type trunk
[AC-GigabitEthernet1/0/1] undo port trunk permit vlan 1
[AC-GigabitEthernet1/0/1] port trunk permit vlan 4093
[AC-GigabitEthernet1/0/1] quit
(2) 配置无线服务
# 创建无线服务模板1,并进入无线服务模板视图。
[AC] wlan service-template 1
# 配置SSID为service。
[AC-wlan-st-1] ssid service
# 配置身份认证与密钥管理模式为PSK模式,配置PSK密钥为明文字符串12345678。
[AC-wlan-st-1] akm mode psk
[AC-wlan-st-1] preshared-key pass-phrase simple 12345678
# 配置加密套件为CCMP,安全信息元素为RSN。
[AC-wlan-st-1] cipher-suite ccmp
[AC-wlan-st-1] security-ie rsn
# 配置本地转发模式。
[AC-wlan-st-1] client forwarding-location ap
# 开启无线服务模板。
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
(3) 配置AP
在大规模组网时,推荐在AP组内进行配置。
# 创建手工AP,名称为officeap,型号名称为WA6320。
[AC] wlan ap officeap model WA6320
# 设置AP序列号为219801A28N819CE0002T。
[AC-wlan-ap-officeap] serial-id 219801A28N819CE0002T
[AC-wlan-ap-officeap] quit
# 创建AP组group1,并配置AP名称入组规则。
[AC] wlan ap-group group1
[AC-wlan-ap-group-group1] ap officeap
# 将无线服务模板1绑定到AP组group1下的Radio 2上。
[AC-wlan-ap-group-group1] ap-model WA6320
[AC-wlan-ap-group-group1-ap-model-WA6320] radio 2
[AC-wlan-ap-group-group1-ap-model-WA6320-radio-2] service-template 1 vlan 3501
# 开启Radio 2的射频功能。
[AC-wlan-ap-group-group1-ap-model-WA6320-radio-2] radio enable
[AC-wlan-ap-group-group1-ap-model-WA6320-radio-2] quit
(4) 配置AP的配置文件
# 在AC上将配置文件apcfg.txt下发到AP。
[AC-wlan-ap-group-group1-ap-model-WA6320] map-configuration apcfg.txt
[AC-wlan-ap-group-group1-ap-model-WA6320] quit
[AC-wlan-ap-group-group1] quit
(1) 配置Core switch的接口
# 创建VLAN 4093,并配置IP地址,用于转发AC和AP间的CAPWAP隧道内的流量。
<Core switch> system-view
[Core switch] vlan 4093
[Core switch-vlan4093] quit
[Core switch] interface vlan-interface 4093
[Core switch-Vlan-interface4093] ip address 192.168.10.1 255.255.255.0
[Core switch-Vlan-interface4093] quit
# 创建VLAN 3501,并为该接口配置IP地址。Client使用该VLAN接入无线网络。
[Core switch] vlan 3501
[Core switch-vlan3501] quit
[Core switch] interface vlan-interface 3501
[Core switch-Vlan-interface3501] ip address 192.168.20.1 255.255.255.0
[Core switch-Vlan-interface3501] quit
# 配置Core switch和AC相连的接口GigabitEthernet1/0/1为Trunk类型,禁止VLAN 1报文通过,允许VLAN4093通过。
[Core switch] interface gigabitEthernet 1/0/1
[Core switch-GigabitEthernet1/0/1] port link-type trunk
[Core switch-GigabitEthernet1/0/1] undo port trunk permit vlan 1
[Core switch-GigabitEthernet1/0/1] port trunk permit vlan 4093
[Core switch-GigabitEthernet1/0/1] quit
# 配置Core switch和OLT相连的接口GigabitEthernet1/0/2为Trunk类型,禁止VLAN 1报文通过,允许VLAN 4093和VLAN 3501通过。
[Core switch] interface gigabitEthernet 1/0/2
[Core switch-GigabitEthernet1/0/2] port link-type trunk
[Core switch-GigabitEthernet1/0/2] undo port trunk permit vlan 1
[Core switch-GigabitEthernet1/0/2] port trunk permit vlan 4093 3501
[Core switch-GigabitEthernet1/0/2] quit
(2) 配置DHCP server
# 开启DHCP server功能。
[Core switch] dhcp enable
# 配置DHCP地址池1为AP分配地址范围为192.168.10.0/24,网关地址为192.168.10.1。
[Core switch] dhcp server ip-pool 1
[Core switch-dhcp-pool-1] network 192.168.10.0 mask 255.255.255.0
[Core switch-dhcp-pool-1] gateway-list 192.168.10.1
# 配置DHCP地址池1中不参与自动分配的IP地址为AC的VLAN4093的IP地址192.168.10.2。
[Core switch-dhcp-pool-1] forbidden-ip 192.168.10.2
[Core switch-dhcp-pool-1] quit
# 配置DHCP地址池2为Client分配地址范围为192.168.20.0/24,为Client分配的DNS服务器地址为网关地址(实际使用过程中请根据实际网络规划配置无线客户端的DNS服务器地址),网关地址为192.168.20.1。
[Core switch] dhcp server ip-pool 2
[Core switch-dhcp-pool-2] network 192.168.20.0 mask 255.255.255.0
[Core switch-dhcp-pool-2] gateway-list 192.168.20.1
[Core switch-dhcp-pool-2] dns-list 192.168.20.1
[Core switch-dhcp-pool-2] quit
(1) 配置OLT的接口
# 创建VLAN 4093和VLAN 3501,其中VLAN 4093用于转发AC和AP间CAPWAP隧道内的流量,VLAN 3501用于转发Client无线报文。
<OLT> system-view
[OLT] vlan 4093
[OLT-vlan4093] quit
[OLT] vlan 3501
[OLT-vlan3501] quit
# 配置OLT和Core switch相连的接口GigabitEthernet1/0/1为Trunk类型,允许VLAN 4093和VLAN 3501通过。
[OLT] interface GigabitEthernet 1/0/1
[OLT-GigabitEthernet1/0/1] port link-type trunk
[OLT-GigabitEthernet1/0/1] port trunk permit vlan 4093 3501
[OLT-GigabitEthernet1/0/1] quit
# 配置OLT和ONU相连的接口OLT1/0/2为Trunk类型,禁止VLAN 1报文通过,允许VLAN 4093和VLAN 3501通过。
[OLT] interface olt 1/0/2
[OLT-Olt1/0/2] port link-type trunk
[OLT-Olt1/0/2] undo port trunk permit vlan 1
[OLT-Olt1/0/2] port trunk permit vlan 4093 3501
[OLT-Olt1/0/2] quit
(2) 配置ONU接口
# 进入Onu1/0/2:1接口视图,配置ONU接口的链路类型为Trunk,允许VLAN 4093和VLAN 3501通过。
[OLT] interface onu 1/0/2:1
[OLT-Onu1/0/2:1] port link-type trunk
[OLT-Onu1/0/2:1] port trunk permit vlan 4093 3501
(3) 配置UNI接口
[OLT-Onu1/0/2:1] uni 1 vlan-mode trunk pvid 4093 3501 to 3501
(1) 在AC上查看AP注册信息
# 在AC上使用命令display wlan ap all查看AP,可以看到AP的状态是R/M,表明AP已经成功注册到AC。
<AC> display wlan ap all
Total number of APs: 1
Total number of connected APs: 1
Total number of connected manual APs: 1
Total number of connected auto APs: 0
Total number of connected common APs: 1
Total number of connected WTUs: 0
Total number of inside APs: 0
Maximum supported APs: 3072
Remaining APs: 3071
Total AP licenses: 512
Local AP licenses: 512
Server AP licenses: 0
Remaining local AP licenses: 511
Sync AP licenses: 0
AP information
State : I = Idle, J = Join, JA = JoinAck, IL = ImageLoad
C = Config, DC = DataCheck, R = Run, M = Master, B = Backup
AP name AP ID State Model Serial ID
officeap 1 R/M WA6320 219801A28N819CE0002T
(2) 在AC上查看Client信息
# 在AC上使用命令display wlan client查看在线Client,可以看到Client已经连接到AP的Radio 2。
<AC> display wlan client
Total number of clients: 1
MAC address User name AP name R IP address VLAN
109a-dd9d-fc68 N/A officeap 2 192.168.20.4 3501
表3-5 部署位置说明
|
产品 |
部署位置说明 |
|
AC |
无线AC一般旁挂在核心交换机上: · 对于组网为“核心+汇聚+接入”的网络,AC旁挂在核心交换机上。 · 对于组网为“汇聚+接入”的网络,AC旁挂在汇聚交换机上。 无线AC N+1备份的环境,多台无线AC旁挂在核心交换机上。 |
|
AP |
1. PON AP(即ONU与AP一体设备)直接连接分光器。 2. 普通AP通过网线接到ONU,且通过PoE供电。 |
需尽量减少网络环境中的广播报文。
无线终端用户的广播报文在AP和AC之间通过CAPWAP隧道封装,在ONU、OLT、核心交换机的角度来看被认为是单播报文,所以广播报文处理的压力在AC。
建议的配置:
(1) AC上配置用户VLAN隔离,减少广播。
(2) 配置AP Radio接口的广播和组播报文控制功能。
无线终端用户的报文由AP将802.11无线报文转换为802.3有线报文,经由ONU设备到网关。此时终端tx/rx双方向的广播报文,都会被ONU接收和处理,而不会经过AC,所以广播报文的处理压力在ONU。
建议的配置:
(1) ONU开启端口隔离。
(2) 规划更小的广播域,即同一个VLAN尽量不要出现在多个区域。
(3) 配置AP Radio接口的广播和组播报文控制功能。
在实际的安装部署中,为了保证信号质量,必须部署足够数量的AP,这就可能造成AP的信号覆盖范围出现重叠,AP之间互相可见。如果所有AP都工作在相同信道,共享同一个信道的频率资源,就会造成整个WLAN网络性能较低。此时,建议采用如下原则:
· 根据实际需求选择互不重叠的一组物理信道来构建多个虚拟的独立的WLAN网络,各个网络独立使用一个信道的带宽。例如,使用2.4G频段时可以使用1、6、11三个非重叠信道构建WLAN网络。
· 信道规划调整需要考虑三维空间的信号覆盖情况,无论是水平方向还是垂直方向都要做到无线的蜂窝式覆盖,最大可能的避免同楼层和上下楼层间的同频干扰。
图3-9 信道规划示意图
在实际的网络部署时,2.4G频段建议都采用20MHz模式进行覆盖,以加强信道隔离与复用,提升WLAN网络整体性能;对于5G频段,单独覆盖场景可以设置为80MHz频宽,对于高密和开放场景,建议频宽配置为20MHz或者40MHz(注意:H3C AP在5G频段802.11ac/802.11ax的带宽模式默认为80MHz,802.11an的带宽模式默认为40MHz)。
【命令一】
【参数】
channel-number:手动配置的射频工作信道。取值范围由国家码和射频模式决定。
【使用指导】
手工指定工作信道模式时,请不要使用雷达信道。
Radio视图下配置的优先级高于AP组Radio视图下的配置。
【举例】
# 配置射频工作信道号为149。(Radio视图)
<Sysname> system-view
[Sysname] wlan ap ap1 model WA6320
[Sysname-wlan-ap-ap1] radio 1
[Sysname-wlan-ap-ap1-radio-1] channel 149
# 配置射频工作信道号为149。(AP组Radio视图)
<Sysname> system-view
[Sysname] wlan ap-group apgroup1
[Sysname-wlan-ap-group-apgroup1] ap-model WA6320
[Sysname-wlan-ap-group-apgroup1-ap-model WA6320] radio 1
[Sysname-wlan-ap-group-apgroup1-ap-model-WA6320-radio-1] channel 149
【命令二】
channel band-width { 20 | 40 [ auto-switch ] | 80 | { 160 | dual-80 } [ secondary-channel channel-number ] }
【参数】
20:将带宽模式设置成20MHz。
40:将带宽模式设置成40MHz。
80:将带宽模式设置成80MHz。
auto-switch:允许在20MHz和40MHz之间自动切换。仅当Radio模式为dot11gn和dot11gac模式时,支持配置本参数。
160:将带宽模式设置成160MHz。本参数的支持情况与AP的型号有关,请以设备的实际情况为准。
dual-80:将带宽模式设置成(80+80)MHz。本参数的支持情况与AP的型号有关,请以设备的实际情况为准。
secondary-channel channel-number:手工配置160/(80+80)MHz带宽模式下的辅信道。本参数的支持情况与AP的型号有关,请以设备的实际情况为准。
【举例】
# 配置Radio 1的带宽为40MHz。(Radio视图)
<Sysname> system-view
[Sysname] wlan ap ap1 model WA6320
[Sysname-wlan-ap-ap1] radio 1
[Sysname-wlan-ap-ap1-radio-1] type dot11an
[Sysname-wlan-ap-ap1-radio-1] channel band-width 40
# 配置Radio 1的带宽为40MHz。(AP组Radio视图)
<Sysname> system-view
[Sysname] wlan ap-group apgroup1
[Sysname-wlan-ap-group-apgroup1] ap-model WA6320
[Sysname-wlan-ap-group-apgroup1-ap-model-WA6320] radio 1
[Sysname-wlan-ap-group-apgroup1-ap-model-WA6320-radio-1] type dot11an
[Sysname-wlan-ap-group-apgroup1-ap-model-WA6320-radio-1] channel band-width 40
信道规划完成后,虚拟WLAN网络的构建就已经同步完成了。此时需要关注每个虚拟WLAN网络中的AP发射功率,通过调整同一信道的AP的发射功率,降低这些AP之间的可见度,加强相同信道频谱资源的复用,以提高WLAN网络的整体性能。
【命令】
max-power radio-power
【参数】
radio-power:射频的最大传输功率,其取值范围由国家码、信道、AP型号、射频模式、天线类型、带宽等属性决定。
【使用指导】
射频的最大传输功率只能在射频支持的功率范围内进行选取,即保证射频的最大传输功率在合法范围内。射频支持的功率范围由国家码、信道、AP型号、射频模式、天线类型、带宽等属性决定,修改上述属性,射频支持的功率范围和最大传输功率将自动调整为合法值。
如果开启了射频的功率锁定功能,则AC会将射频最大传输功率修改为射频当前传输功率。
Radio视图下配置的优先级高于AP组Radio视图下的配置。
【举例】
# 配置射频最大传输功率为15dBm。(Radio视图)
<Sysname> system-view
[Sysname] wlan ap ap1 model WA6320
[Sysname-wlan-ap-ap1] radio 1
[Sysname-wlan-ap-ap1-radio-1] max-power 15
# 配置射频最大传输功率为15dBm。(AP组Radio视图)
<Sysname> system-view
[Sysname] wlan ap-group apgroup1
[Sysname-wlan-ap-group-apgroup1] ap-model WA6320
[Sysname-wlan-ap-group-apgroup1-ap-model-WA6320] radio 1
[Sysname-wlan-ap-group-apgroup1-ap-model-WA6320-radio-1] max-power 15
不建议开启动态功率调整功能。由于终端本身会实时关注周围AP信号强度,如果开启动态功率调整,可能会导致终端无端漫游,使用效果变差。
无线AC可以通过使用VLAN组特性,将其VLAN成员分配给上线的各客户端,使各客户端均匀分布在各VLAN,从而达到减小广播域的目的,同时还可以提高对非连续地址段的利用率。AC默认VLAN组的VLAN分配方式为动态,即客户端首次上线时,无线服务模板绑定Radio时指定的VLAN组会为用户随机分配一个VLAN。客户端再次上线时VLAN组再次随机为客户端分配VLAN。采用该分配方式,客户端会被均衡地分配在VLAN组的所有VLAN中。对于终端而言,连接SSID不变的情况下,部分终端会出现地址更新慢,甚至不更新地址的情况,最终导致用户体验变差,因此当使用VLAN组特性时,如无特殊需求,强烈建议配置为静态分配方式,即终端再次上线时直接继承上次VLAN组分配的VLAN。
【命令】
client vlan-alloc { dynamic | static | static-compatible }
【参数】
dynamic:表示动态分配方式
static:表示静态分配方式
static-compatible:表示静态兼容分配方式。
【使用指导】
客户端首次上线时,AP会为动态分配方式下的客户端随机分配无线服务模板绑定Radio时指定的VLAN组内的一个VLAN,根据客户端的MAC地址为静态分配、静态兼容分配方式下的客户端分配VLAN。客户端再次上线时被分配的VLAN将由配置的VLAN分配方式决定:
· 静态分配方式下,直接继承上次VLAN组分配的VLAN。若客户端的IP地址在租约内,仍为客户端分配同一个IP地址。采用该分配方式,可以减少IP地址的消耗。
· 动态分配方式下,VLAN组再次随机为客户端分配VLAN。采用该分配方式,客户端会被均衡地分配在VLAN组的所有VLAN中。
· 静态兼容分配方式下,可以保证客户端在采用静态分配方式的Comware V5 版本AC设备与ComwareV7/V9版本的AC之间漫游时,被分配相同的VLAN。
【举例】
# 配置客户端的VLAN分配方式为静态分配方式。
[AC] wlan service-template service1
[AC-wlan-st-service1] client vlan-alloc static
· 不使用VLAN组特性时无需配置VLAN分配方式。
· 如果涉及Comware V5、Comware V7/V9混合组网和漫游时,且均启用了VLAN组特性(V5该功能为VLAN池),建议配置VLAN分配模式为static-compatible。
同一VLAN内,来自无线客户端的广播、组播报文会向所有放通该VLAN的AP上广播,而在空间介质中广播报文通常使用最低速率进行发送,因此当广播报文比较多时,会占用较多的空口资源,在一定程度上影响到整个网络性能。
无线用户VLAN内二层隔离可以在AC上控制无线用户只能访问网关设备,而不能互相之间访问。同时,通过配置undo user-isolation permit broadcast命令禁止有线用户(user-isolation vlan permit-mac允许的MAC地址除外)发送广播、组播报文给无线用户,无线用户到有线用户的广播、组播报文不受限制。这样可以大量减少整个WLAN网络的广播流量,提高WLAN网络的整体性能。
【命令一】
user-isolation vlan vlan-list enable [ permit-unicast ]
【参数】
vlan-list:VLAN列表,表示开启用户隔离功能的VLAN的范围。表示方式为vlan-list = { vlan-id1 [ to vlan-id2 ] }&<1-10>,vlan-id的取值范围为1~4094,vlan-id2的值要大于或等于vlan-id1的值,&<1-10>表示前面的参数最多可以输入10次。
permit-unicast:表示不隔离单播,仅隔离广播和组播。如果未指定该参数,表示同时隔离单播、广播和组播。
【使用指导】
为了避免在指定VLAN上开启用户隔离功能后,出现断网情况,用户必须根据user-isolation vlan permit-mac命令先将用户网关的MAC地址加入到用户隔离允许列表中,再开启该VLAN的用户隔离功能。
如果多次执行user-isolation vlan enable命令,则开启用户隔离功能的VLAN是多次配置中指定的VLAN的合集;若同一VLAN多次配置,则最后一条配置生效。
【命令二】
user-isolation vlan vlan-list permit-mac mac-list
【参数】
vlan-list:VLAN列表。表示方式为vlan-list = { vlan-id1 [ to vlan-id2 ] }&<1-10>,vlan-id的取值范围为1~4094,vlan-id2的值要大于或等于vlan-id1的值,&<1-10>表示前面的参数最多可以输入10次。
mac-list:MAC地址允许转发列表,MAC地址格式为H-H-H。在一个VLAN内最多可以配置64个允许的MAC地址,该MAC地址不允许为广播或组播地址。
【使用指导】
配置指定VLAN的MAC地址允许转发列表,当在该VLAN内开启用户隔离功能后,所配置的MAC地址不会被隔离。
如果多次执行user-isolation vlan permit-mac命令,则指定VLAN允许的MAC地址为多次配置的MAC地址的集合。每一个VLAN内最多允许配置64个允许的MAC地址,一次最多允许配置16个允许的MAC地址。
【命令三】
user-isolation permit-broadcast
undo user-isolation permit-broadcast
【使用指导】
当有线用户和无线用户属于同一VLAN或用户接入的AC设备工作于IRF环境时必须隔离有线用户发往无线用户的广播和组播报文,其他情况下允许接收有线用户发送给无线用户的广播和组播报文。
在本地转发组网下实施二层隔离需要通过MAP文件把相关配置下发到AP上。
【举例】
# 在VLAN 10上开启用户隔离功能,允许访问MAC地址为00bb-ccdd-eeff和0022-3344-5566的设备(允许的MAC地址通常为网关MAC地址),同时禁止有线用户(permit-mac允许的mac地址除外)发送广播、组播报文给无线用户。
<AC> system-view
[AC] user-isolation vlan 10 enable
[AC] user-isolation vlan 10 permit-mac 00bb-ccdd-eeff 0022-3344-5566
[AC] undo user-isolation permit-broadcast
· 在本地转发组网下实施二层隔离需要通过MAP文件把相关配置下发到AP上。
· 基于VLAN的二层隔离和基于服务模板的二层隔离的典型区别是:基于服务模板的二层隔离只是限制该服务模板下终端不能互访,广播报文不在相同服务模板的相同业务VLAN网段泛洪,但是如果服务模板不同VLAN相同则不受影响,因此更建议配置基于VLAN的二层隔离。
WLAN网络中每个AP提供的可用带宽是有限的,且由接入的无线客户端共享。如果个别的无线客户端通过WLAN使用网络工具下载文件,可能达到非常大的流量,进而直接耗尽当前共享带宽,造成其他无线客户端访问网络慢、Ping抖动丢包等问题。通过配置用户限速功能,可以限制部分无线客户端对带宽的过多消耗,保证所有接入无线客户端均能正常使用网络业务。
基于无线客户端的速率限制功能有两种模式:动态模式和静态模式,其中静态模式为静态的配置每个客户端的速率,即配置的速率是同一个AP内,每个客户端的最大速率。
【命令】
Radio视图/AP组视图:
client-rate-limit { inbound | outbound } mode { dynamic cir cir [ min min-cir ] [ max max-cir ] | static cir cir }
无线服务模板视图:
client-rate-limit { inbound | outbound } mode { dynamic cir cir [ min min-cir ] [ max max-cir ] | static cir cir } [ cbs cbs ]
【参数】
inbound:入方向,即限制客户端发送数据的速率。
outbound:出方向,即限制客户端接收数据的速率。
dynamic:配置限速模式为动态模式。在该模式下,单个客户端的限速速率为总限速速率/客户端总数。
static:配置限速模式为静态模式,所有客户端的限速速率为固定值。
cir cir:配置客户端限速速率。在静态模式下表示为所有客户端配置相同的限速速率;在动态模式下表示配置所有客户端的限速速率总和。cir的取值范围为16~1700000,单位为Kbps。
min min-cir:配置所有客户端的限速速率最小值。表示配置所有客户端的限速速率最小值。min-cir的取值范围为16~1700000,单位为Kbps。
max max-cir:配置所有客户端的限速速率最大值。表示配置所有客户端的限速速率最大值。max-cir的取值范围为16~1700000,单位为Kbps,配置的max-cir需要大于min-cir。
cbs cbs:配置每个客户端的承诺突发尺寸,取值范围为1~268435456,单位为bytes。如果不指定本参数,则cbs的值根据cir值自动计算获得。
【使用指导】
在同一视图下,开启了基于射频的客户端限速功能且配置了客户端速率限制,则该视图的客户端限速功能生效。
可以同时指定出方向和入方向的速率限制。
限速模式为动态模式时,如果同时配置了cir cir、max max-cir和min min-cir参数:
· 当cir/客户端总数<min,则客户端动态限速速率为min;
· 如果min<cir/客户端总数<max,则客户端动态限速速率为cir/客户端总数;
如果cir/客户端总数>max,则客户端动态限速速率为max。
Radio视图下客户端限速功能生效的优先级高于AP组Radio视图。
【举例】
# 配置客户端限速功能,使单个客户端发送数据的最大速率为512Kbps,单个客户端接收数据的最大速率为2048Kbps。(Radio视图)
<AC> system-view
[AC] wlan ap ap1 model WA6320
[AC-wlan-ap-ap1] radio 1
[AC-wlan-ap-ap1-1] client-rate-limit enable
[AC-wlan-ap-ap1-1] client-rate-limit inbound mode static cir 512
[AC-wlan-ap-ap1-1] client-rate-limit outbound mode static cir 2048
# 配置客户端限速功能,使单个客户端发送数据的最大速率为512Kbps,单个客户端接收数据的最大速率为2048Kbps。(AP组Radio视图)
<AC> system-view
[AC] wlan ap-group group1
[AC-wlan-ap-group-group1] ap-model WA6320
[AC-wlan-ap-group-group1-ap-model-WA6320] radio 1
[AC-wlan-ap-group-group1-ap-model-WA6320-radio-1] client-rate-limit enable
[AC-wlan-ap-group-group1-ap-model-WA6320-radio-1]client-rate-limit inbound mode static cir 512
[AC-wlan-ap-group-group1-ap-model-WA6320-radio-1]client-rate-limit outbound mode static cir 2048
# 配置客户端限速功能,使所有客户端发送数据的总速率为567Kbps,单个客户端的最大发送速率为500Kbps,最小发送速率为123Kbps;所有客户端接收数据的总速率为789Kbps,单个客户端的最大接收速率为600Kbps,最小接收速率为234Kbps。(无线服务模板视图)
<Sysname> system-view
[Sysname] wlan service-template 1
[Sysname-wlan-st-1] client-rate-limit inbound mode dynamic cir 567 max 500 min 123
[Sysname-wlan-st-1] client-rate-limit outbound mode dynamic cir 789 max 600 min 234
用户限速功能与智能带宽保障功能不要同时启用。
在WLAN网络中,信号强度较弱的无线客户端,虽然也可以接入到网络中,但是所能够获取的网络性能和服务质量要比信号强度较强的无线客户端差很多。如果弱信号的无线客户端在接入到WLAN网络的同时还在大量地下载数据,就会占用较多的信道资源,最终必然对其他的无线客户端造成很大的影响。
禁止弱信号客户端接入功能,通过配置允许接入的无线客户端的最小信号强度门限值,可以直接拒绝信号强度低于指定门限的无线客户端接入到WLAN网络中,减少弱信号客户端对其他无线客户端的影响,从而提升整个WLAN网络的性能。
【命令】
option client reject { disable | enable [ rssi rssi-value ] }
【参数】
rssi rssi-value:无线客户端信号强度门限值,取值范围为5~100,缺省值为10,建议值为10。
【使用指导】
开启本功能后,当无线客户端信号强度低于门限值时,AP将拒绝此类客户端接入。拒绝信号比较低的无线客户端接入到WLAN网络中,既可以避免低信号客户端占用较多的信道资源,同时可以减少对其他客户端的影响,提升整个WLAN网络的应用效果。
禁止弱信号客户端接入需要考虑场景覆盖信号强度情况,如场景覆盖信号强度偏弱,可能导致无线客户端无法正常接入。
【举例】
# 开启禁止弱信号客户端接入功能,并配置信号强度门限值为10。(Radio视图)
<AC> system-view
[AC] wlan ap ap1 model WA6320
[AC-wlan-ap-ap1] radio 1
[AC-wlan-ap-ap1-radio-1] option client reject enable rssi 10
# 开启禁止弱信号客户端接入功能,并配置信号强度门限值为10。(AP组Radio视图)
<AC> system-view
[AC] wlan ap-group 1
[AC-wlan-ap-group-1] ap-model WA6320
[AC-wlan-ap-group-1-ap-model-WA6320] radio 1
[AC-wlan-ap-group-1-ap-model-WA6320-radio-1] option client reject enable rssi 10
如果终端接入后信号强度发生变化且低于门限值,AP也不会主动踢掉终端,但是如果断开后重新关联则无法连接成功。
通过命令option client fast-forwarding enable开启客户端数据快速转发功能后,AP向无线客户端发送数据报文时,不会进行额外的业务处理(比如校验、统计),直接进行转发,可能会导致认证或显示异常。
【命令】
option client fast-forwarding disable
【举例】
# 关闭客户端数据业务快速转发功能。(Radio视图)
<Sysname> system-view
[Sysname] wlan ap ap1 model WA6320
[Sysname-wlan-ap-ap1] radio 1
[Sysname-wlan-ap-ap1-radio-1] option client fast-forwarding disable
# 关闭客户端数据业务快速转发功能。(AP组Radio视图)
<Sysname> system-view
[Sysname] wlan ap-group 1
[Sysname-wlan-ap-group-1] ap-model WA6320
[Sysname-wlan-ap-group-1-ap-model-WA6320] radio 1
[Sysname-wlan-ap-group-1-ap-model-WA6320-radio-1] option client fast-forwarding disable
默认情况下AP发送Beacon帧的时间间隔为100TU(1TU=1024微秒),目前大部分终端也是100TU获取一次数据。如果AP侧更改发送Beacon帧的时间间隔,大多数终端会根据AP侧间隔进行调整,但是个别终端依然按照默认情况获取AP信息,可能会导致个别终端关联异常。
【命令】
undo beacon-interval
【举例】
# 将发送Beacon帧的时间间隔恢复为缺省情况。(Radio视图)
<Sysname> system-view
[Sysname] wlan ap ap1 model WA6320
[Sysname-wlan-ap-ap1] radio 1
[Sysname-wlan-ap-ap1-radio-1] undo beacon-interval
#将发送Beacon帧的时间间隔恢复为缺省情况。(AP组Radio视图)
<Sysname> system-view
[Sysname] wlan ap-group apgroup1
[Sysname-wlan-ap-group-apgroup1] ap-model WA6320
[Sysname-wlan-ap-group-apgroup1-ap-model-WA6320] radio 1
[Sysname-wlan-ap-group-apgroup1-ap-model-WA6320-radio-1] undo beacon-interval
开启信息中心相关命令,可以有效记录设备运行的状态信息,对于问题分析以及设备维护起到重要作用。
【命令一】
info-center enable
【举例】
# 开启信息中心功能。
<Sysname> system-view
[Sysname] info-center enable
Information center is enabled.
【命令二】
info-center logfile enable
【使用指导】
配置本命令后,设备会将业务模块生成的日志保存到日志文件。
【举例】
# 配置允许日志信息输出到日志文件。
<Sysname> system-view
[Sysname] info-center logfile enable
【命令三】
info-center loghost { hostname | ipv4-address | ipv6 ipv6-address } [ port port-number ] [ facility local-number ] [ filter filter-name ]
【参数】
hostname:指定日志的主机名,为1~253个字符的字符串,不区分大小写,字符串中可以包含字母、数字、“-”、“_”和“.”。
ipv4-address:指定日志主机的IPv4地址。
ipv6 ipv6-address:指定日志主机的IPv6地址。
port port-number:指定日志主机接收日志信息的端口号,取值范围为1~65535,缺省值为514。该参数的值需要和日志主机侧的配置一致,否则日志主机接收不到日志信息。
facility local-number:配置日志主机的记录工具。取值范围为local0~local7,缺省值为local7。主要用于在日志主机端标志不同的日志来源,查找、过滤对应日志源的日志。
filter filter-name:指定日志主机关联的日志输出规则的名称,只有符合规则的日志才能输出到对应的日志主机。filter-name表示日志信息输出规则的名称,为1~8个字符的字符串,不区分大小写。不指定该参数时,则采用info-center source命令日志主机方向的配置作为日志输出规则。
【使用指导】
用户只有使用info-center enable命令开启了信息中心功能,配置info-center loghost命令才会生效。
【举例】
# 配置系统向IP地址为1.1.1.1的日志主机发送日志信息。
<Sysname> system-view
[Sysname] info-center loghost 1.1.1.1
非业务广播报文进入AC会复制到所有AP空口,从而影响AC性能,甚至对AC造成冲击。为了防止不必要报文进入AC,建议AC有线口以及对端互联的交换机端口只放通必要的VLAN,禁止配置permit vlan all。当组网为本地转发时,无线业务报文不经过AC,所以AC有线口不需要放通本地转发业务VLAN,防止报文迂回到AC影响性能。
AC做双链路备份时候,主备配置不一致会导致AP在主备切换后提供的服务等信息变化,导致用户使用异常。
同步主备配置,例如:无线服务模板、功率信道等。
AC只有安装了有效License,AP才能正常上线。没有永久License的情况下,临时Licesne到期后如果设备发生重启License失效,会导致AP上线异常。
AC安装永久License或及时重新安装临时License。
APDB功能是给特定型号AP指定特定版本,如果AC上存在指定版本,会造成AP和AC版本不一致,有AP运行异常风险。如果AC上不存在指定版本可能会导致AP无法上线。
取消APDB配置。
【命令】
undo wlan apdb [ fatap | oasisap ] model-name hardware-version
【举例】
# 将FIT AP型号为WA6320的硬件版本Ver.C对应的软件版本恢复为缺省情况。
<Sysname> system-view
[Sysname] undo wlan apdb WA6320 Ver.C
缺省情况下AP版本校验功能处于开启状态,如果被关闭,AC将不再检查AP和AC版本是否一致,可能会出现AP和AC版本不一致情况,存在隐患。
通过命令firmware-upgrade enable命令开启版本校验功能。
【命令】
firmware-upgrade enable
【使用指导】
建立CAPWAP隧道过程中,如果AP版本升级功能处于开启状态,AC会将AP的软件版本与AC上保存的该AP型号的软硬件版本对应关系进行比较。如果软件版本一致,则允许CAPWAP隧道建立;如果软件版本不一致,则将此情况告知AP。AP收到版本不一致的消息后,会向AC请求版本并进行版本升级后,再重新与AC建立CAPWAP隧道连接。
建立CAPWAP隧道过程中,如果关闭AP版本升级功能,则AC不对AP当前的软件版本进行比较,直接与AP建立CAPWAP隧道连接。
AP视图下的配置优先级高于AP组视图下的配置,AP组视图下的配置优先级高于全局配置视图下的配置。
【举例】
# 开启AP版本升级功能。(AP视图)
<Sysname> system-view
[Sysname] wlan ap ap3 model WA6320
[Sysname-wlan-ap-ap3] firmware-upgrade enable
# 开启AP版本升级功能。(AP组视图)
<Sysname> system-view
[Sysname] wlan ap-group group1
[Sysname-wlan-ap-group-group1] firmware-upgrade enable
# 开启AP版本升级功能。(全局配置视图)
<Sysname> system-view
[Sysname] wlan global-configuration
[Sysname-wlan-global-configuration] firmware-upgrade enable
AP和AC间会有心跳报文,如果有线链路存在异常,可能导致AP掉线情况。因此需要通过命令display wlan ap apname verbose中的average echo delay字段查看,当延时时间超过50ms,需要进一步排查。
对于链路延时超过50ms的AP,排查AC和AP间的有线链路,确保有线链路稳定。
当AC通过二层交换机建立IRF时,要求IRF链路使用的VLAN独立于业务VLAN,否则可能导致AC的IRF报文泛洪到其他设备上。
建议在交换机Switch上将与AC IRF堆叠口连接的端口配置为Access口,VLAN独立规划。本优化不需要AC做配置调整。
当AC通过二层交换机建立IRF时,IRF堆叠口绑定了多个物理口,此时在交换机Switch上将与IRF堆叠口连接的多个端口配置成静态聚合,不允许使用动态聚合。本优化不需要AC做配置调整。
交换机侧在相应聚合口下通过命令undo link-aggregation mode设置为静态聚合。
【命令】
undo link-aggregation mode
【举例】
# 配置二层聚合接口1对应的聚合组工作在静态聚合模式下。
<Sysname> system-view
[Sysname] interface bridge-aggregation 1
[Sysname-Bridge-Aggregation1] undo link-aggregation mode
当AC通过交换机建立IRF时,需要在交换机侧将与IRF堆叠口连接的端口关闭STP功能。同时,AC上IRF堆叠物理口也需要关闭STP功能。
在AC堆叠物理口和对端交换机相连物理口通过命令undo stp enable关闭STP功能。
【命令】
undo stp enable
【举例】
# 在端口GigabitEthernet1/0/1上关闭生成树协议。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] undo stp enable
IRF链路故障会导致一个IRF设备变成两个新的设备。这两个设备拥有相同的IP地址等三层配置,会引起地址冲突,导致故障在网络中扩大。为了提高系统的可用性,当IRF分裂时我们就需要一种机制,能够检测出网络中是否同时存在多个IRF,并进行相应的处理,尽量降低IRF分裂对业务的影响。MAD检测功能可以起到这个作用。
【命令一】
mad enable
【缺省情况】
LACP MAD检测功能处于关闭状态。
【视图】
聚合接口视图
【举例】
# 在二层动态聚合接口1下启用LACP MAD方式检测功能。
<Sysname> system-view
[Sysname] interface bridge-aggregation 1
[Sysname-Bridge-Aggregation1] link-aggregation mode dynamic
[Sysname-Bridge-Aggregation1] mad enable
You need to assign a domain ID (range: 0-4294967295)
[Current domain is: 0]: 1
The assigned domain ID is: 1
MAD LACP only enable on dynamic aggregation interface.
【命令二】
mad arp enable
【缺省情况】
ARP MAD检测功能处于关闭状态。
【视图】
VLAN接口视图
【举例】
# 在VLAN接口3上启用ARP MAD检测功能。
<Sysname> system-view
[Sysname] interface vlan-interface 3
[Sysname-Vlan-interface3] mad arp enable
You need to assign a domain ID (range: 0-4294967295)
[Current domain is: 0]: 1
The assigned domain ID is: 1
LSUM1WCME0/EWPXM1WCME0/LSQM1WCMX40/LSUM1WCMX40RT开启WLAN快速转发的硬件转发功能后,组建IRF时,每块插卡上的XGEn/0/1口、XGEn/0/3口作为一组,XGEn/0/2口、XGEn/0/4口作为一组(n是IRF中的成员编号),其中一组必须作为业务口,另一组作为IRF物理端口,例如:当XGEn/0/1和XGEn/0/3作为IRF物理端口时,XGEn/0/2和XGEn/0/4就要配置成业务口。
按照规范配置堆叠接口。
AP上行PoE交换机有线口配置端口隔离,可以有效避免广播流量泛洪到AP上,导致AP运行异常。
在交换机的物理口下通过命令port-isolate enable将端口加入到默认隔离组中。
【命令】
port-isolate enable
【缺省情况】
当前端口未加入隔离组。
【视图】
二层以太网接口视图
二层聚合接口视图
【举例】
# 将端口GigabitEthernet1/0/1和GigabitEthernet1/0/2加入隔离组。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] port-isolate enable
[Sysname-GigabitEthernet1/0/1] quit
[Sysname] interface gigabitethernet 1/0/2
[Sysname-GigabitEthernet1/0/2] port-isolate enable
对于集中转发,AP上行交换机接口建议配置为Access口,放通管理VLAN。对于本地转发,AP上行口仅放通必要VLAN,以避免广播流量泛洪到AP上,影响AP性能及空口环境。
· 集中转发情况下,与AP直接相连的对端交换机的PoE接口通过命令port link-type access将接口更改为Access口,进一步通过命令portal access vlan vlan-id放通管理VLAN。
· 本地转发情况下,通过下发MAP文件放通相应业务VLAN,同时与AP直接相连的对端交换机的PoE接口通过命令port link-type trunk更改端口类型为Trunk口,进一步通过命令port trunk pvid vlan-id将pvid更改为管理VLAN。进一步通过命令port trunk permit vlan-id放通管理VLAN及业务VLAN。
当AC作为接入设备,承载Portal认证业务时,如果服务器侧没有设置用户的闲置切断功能,会导致终端下线后,用户认证表项长期在设备上存在,如果此时终端重新接入,并获取到了新的IP地址,就有可能出现冲突,导致无法认证通过,此外大量的残留表项还会消耗设备的资源,因此无特殊需求的情况下,强烈建议开启设备上用户的闲置切断功能。
【命令】
authorization-attribute idle-cut minutes [ flow ]
【视图】
ISP域视图
【参数】
minutes:指定用户的闲置切断时间。其中,minutes的取值范围为1~129600,单位为分钟。此属性只对PPP、Portal、无线lan-access用户生效,建议值小于DHCP租约的1/3。
flow:用户在闲置切断时间内产生的数据流量,取值范围1~10240000,单位为字节,缺省值为10240,建议值为1024。
【举例】
# 指定ISP域test下的用户闲置切断时间为30分钟,闲置切断时间内产生的流量为10240字节。
<AC> system-view
[AC] domain test
[AC-isp-test] authorization-attribute idle-cut 30 10240
开启本功能后,当设备收到未认证Portal用户的认证报文后,将使用WLAN Snooping表、DHCP Snooping表和ARP表对其进行合法性检查。如果在这三个表中查询到该Portal客户端信息,则认为其合法并允许进行Portal认证。
通过命令portal host-check enable开启本功能。
【命令】
portal host-check enable
【视图】
系统视图
【举例】
# 开启无线Portal客户端合法性检查功能。
<Sysname> system-view
[Sysname] portal host-check enable
通过命令portal free-rule rule-number配置目的地址时直接用d开头联想默认为description,因此需要检查free rule配置,避免出现误将destination写成description。
将portal free rule里面误写的description更换回destination。
在实际应用中,802.1x客户端的实现存在很大的差别,也就是说当AP发送了EAP-Request报文后,在一定的时间内可能无线客户端无法及时响应EAP-Response报文,最终导致认证无法成功。所以在具体实施中supplicant的时间和retry的次数要适当进行调整。确保基本的应用中按照上面的配置可以正常提供服务。注意:如果supplicant时间比较短,可能造成一些实现不好的客户端上线出现问题,此时需要适当将supplicant时间调长。
【命令一】
dot1x retry retries
【缺省情况】
设备向接入用户发送认证请求报文的最大次数为2。
【视图】
系统视图
【举例】
# 配置设备最多向接入用户发送9次认证请求报文。
<Sysname> system-view
[Sysname] dot1x retry 9
【命令二】
dot1x timer { supp-timeout supp-timeout-value | tx-period tx-period-value }
【缺省情况】
客户端认证超时定时器的值为30秒,用户名请求超时定时器的值为30秒。
【视图】
系统视图
【举例】
# 设置客户端认证超时定时器的值为50秒。
<Sysname> system-view
[Sysname] dot1x timer supp-timeout 50
CCMP和TKIP都是无线加密方式的一种,只是加密算法不同。当无线网络模式设置为“b+g+n”时,建议把加密方式设置为CCMP即“Mixed WPA/WPA2-个人加密”,加密协议设置为“AES”,否则无线AP将不能提供802.11n的高速率数据传输服务。因为802.11n不支持WEP和TKIP加密协议,所以当无线网络模式设置为“n-only”模式时,无法使用WEP和TKIP加密方式,相应的,当无线选择tkip加密时,也无法提供802.11n服务无线用户的速率会比较慢。
建议加密套件使用CCMP方式,同时安全IE采用RSN方法,以保证终端协商到最大速率,保证终端上网体验。
【命令一】
cipher-suite ccmp
【缺省情况】
未配置加密套件。
【视图】
无线服务模板视图
【举例】
# 配置在帧加密时使用CCMP加密套件。
<Sysname> system-view
[Sysname] wlan service-template security
[Sysname-wlan-st-security] cipher-suite ccmp
【命令二】
security-ie rsn
【缺省情况】
信标和探查响应帧不携带WPA IE、RSN IE或OSEN IE。
【视图】
无线服务模板视图
【举例】
# 配置信标帧和探查响应帧携带RSN信息元素。
<Sysname> system-view
[Sysname] wlan service-template security
[Sysname-wlan-st-security] security-ie rsn
可参考如下内容进行终端设置:
· 安卓终端:“设置-WLAN-WLAN+”或“设置-WLAN-高级设置-WLAN助理”,建议关闭。
· 苹果终端:“设置-蜂窝移动网络-无线局域网助理”,建议关闭。
· Mac终端:建议开启定位功能。
不同的终端厂商类似WIFI助手的路径名称可能不一样,针对具体型号可以上网查询。
(1) 漫游主动性设置
# 打开网卡属性,查看“高级 > 漫游主动性”选项,有以下几个参数:低、中低、中、中高、高。
图3-10 漫游主动性设置
# 在漫游场景中,对于经常移动的终端需要设置较高的漫游灵敏度从而快速扫描并切换AP,防止漫游粘滞;对于不经常移动的终端,需要设置较低的漫游灵敏度防止终端发生不必要的扫描和漫游。
¡ 需要设置高漫游灵敏度的场景:办公场景,经常携带笔记本电脑穿梭于各大会议室的人。
¡ 需要抑制漫游灵敏度的场景:台式机终端。
# 漫游灵敏度建议值:
¡ 需要漫游灵敏度高的场景建议配置为高或者中高。
¡ 需要抑制漫游灵敏度的场景建议配置为低或者中低。
(2) 漫游决定设置
# 部分网卡还有漫游决定的设置选项:
¡ Roaming Decision:漫游决定。
# 无线网络终端在信号弱到一定阈值时,会尝试开始漫游,此时开始扫描周围环境是否有信号更强的AP可以接入。Roaming Decision配置项主要是确定这个信号强度(RSSI阈值),阈值越高,则越早开始扫描。
图3-11 漫游决定设置
Roaming Decision分3个档位:
¡ Default:-70dB。
¡ Optimize Bandwidth(优化带宽):-60 dB。
¡ Optimize Distance(优化距离):-80 dB。
漫游决定建议值:在抑制漫游的场景建议配置为Optimize Distance(优化距离);在积极漫游的场景建议配置为Optimize Bandwidth(优化带宽)。
(3) 漫游趋势设置
# 漫游趋势的设置选项:
¡ Roam Tendency:漫游趋势
图3-12 漫游趋势设置
# 无线终端在完成漫游扫描后,需要一个信号强度阈值来决定终端是否执行漫游动作,这个阈值表示终端当前关联AP和扫描到的欲漫游AP的信号强度差值。
¡ Conservative(保守型):表示新AP要比当前AP信号强30dB才会漫游。
¡ Moderate(中等型):表示新AP要比当前AP信号强20dB才会漫游。
¡ Aggressive(积极型):表示新AP比当前AP信号强10dB就漫游。
# 漫游趋势建议值:在积极漫游的场景建议配置为积极型,在抑制漫游的场景建议配置为保守型。
# 打开网卡属性,查看“高级 > 传输电源”选项。建议根据场景来配置,密集部署环境建议配置适中以降低终端间的干扰,上行信号弱时可配最高值。
图3-13 电源设置
# 除了网卡配置项,Windows系统针对无线网卡的电源管理还有些其他配置,在网卡属性的最后一个“电源管理”选项卡中将“允许计算机关闭此设备以节约电源”关闭防止终端节电。同时建议在笔记本的电源管理中也将无线适配器设置提高到最高性能。
图3-14 电源管理设置
图3-15 电源选项设置
· 完成无线优化配置后,建议使用“iService > 智能运维 > WIFI网络护航”巡检工具进行配置合规检查,并按照检查建议进行相应修改。
· iService平台网址为iservice.h3c.com。
为了实现OLT口间互相隔离,所有OLT都要加入同一个隔离组中。设备支持多个隔离组,用户可以通过手工配置。隔离组内可以加入的端口数量没有限制。
需要注意如下限制:
(1) 一个端口最多只能加入一个隔离组。
(2) 二层以太网接口视图下的配置只对当前端口生效。
(3) 二层聚合接口视图下的配置对当前接口及其成员端口生效,若某成员端口配置失败,系统会跳过该端口继续配置其他成员端口,若二层聚合接口配置失败,则不会再配置成员端口。
通过如下命令配置
(1) 进入系统视图。
system-view
(2) 创建隔离组。
port-isolate group group-id
(3) 进入二层OLT接口视图。
interface Olt interface-number
(4) 将端口加入到隔离组中。
port-isolate enable group group-id
缺省情况下,当前端口不属于任何隔离组
把ONU下的UNI端口加入到一个隔离组中,可以实现端口之间二层数据的隔离(即隔离组内的UNI端口互相不能转发报文),既增强了网络的安全性,也为用户提供了灵活的组网方案。
一台ONU只支持一个隔离组。隔离组内端口数不受限制。
通过如下命令修改
(1) 进入系统视图。
system-view
(2) 进入ONU接口视图。
Interface Onu interface-number
(3) 配置UNI端口隔离。
a. 将ONU下的所有UNI端口加入隔离组:
onu port-isolate
enable
b. 将ONU下的指定UNI端口加入隔离组:
uni uni-number port-isolate
二者选其一,且不能同时配置。缺省情况下,ONU下的UNI端口未加入隔离组
OLT口不要配置trunk vlan all,只放通需要的VLAN,防止广播太多下行冲击ONU的CPU。
通过如下命令行调整OLT口放通的VLAN:
interface OLT interface-number
port trunk permit vlan { vlan-id-list | all }
undo port trunk permit vlan { vlan-id-list | all }
默认只有23M,流量大时可能影响ONU、AP掉线,上网卡顿。
支持在ONU口和ftth视图下全局配置,只配置一处即可。通过如下命令配置:
配置单个ONU接口的上行带宽,通过如下命令修改:
(1) 进入系统视图。
system-view
(2) 进入ONU接口视图。
Interface Onu interface-number
(3) 配置ONU的上行带宽分配范围。
upstream-sla { fixed-bandwidth fixed-value | minimum-bandwidth min-value | maximum-bandwidth max-value | weight weight-value } *
统一配置所有ONU接口的上行最大带宽,通过如下命令修改:
(1) 进入系统视图。
system-view
(2) 进入FTTH接口视图。
ftth
(3) 全局配置所有ONU接口的上行最大带宽。
(独立运行模式)
onu upstream-sla maximum-bandwidth [ slot slot-number ] percent bandwidth-percent
(IRF模式)
Onu upstream-sla maximum-bandwidth [ chassis chassis-number slot slot-number ] percent bandwidth-percent
interface Onu4/0/12:1
bind onu-id 586a-b1c2-054a
upstream-sla fixed-bandwidth 3125 minimum-bandwidth 3125 maximum-bandwidth 15625
ftth
onu upstream-sla maximum-bandwidth percent 30
网络中如果存在私自架设的非法DHCP服务器,则可能导致DHCP客户端获取到错误的IP地址和网络配置参数,从而无法正常通信。为了使DHCP客户端能通过合法的DHCP服务器获取IP地址,DHCP Snooping安全机制允许将端口设置为信任端口和不信任端口。
信任端口正常转发接收到的DHCP报文。
不信任端口无法转发DHCP客户端发送的请求方向报文,并且会丢弃接收到DHCP服务器响应的DHCP-ACK和DHCP-OFFER报文。
【命令】
dhcp snooping enable
undo dhcp snooping enable
【缺省情况】
DHCP Snooping功能处于关闭状态。
【使用指导】
开启DHCP Snooping功能后,如果不信任端口接收到DHCP服务器发送的报文,将丢弃该报文,以保证客户端从合法的DHCP服务器获取IP地址。
在DHCP Snooping功能关闭后,所有端口都可转发DHCP服务器的响应报文。
【配置举例】
# 在leaf设备上使能dhcp snooping
[leaf1]dhcp snooping enable
# 设置leaf上行口Ge2/0/13为trust信任口
[leaf1-Ten-GigabitEthernet2/0/13]dhcp snooping trust
通过在AP上配置环路检测功能,使由于配置失误而导致环路产生时自动关闭端口来避免设备处于环路中。
在AC上通过编辑好的MAP文件下发给AP,将无线终端的GE1/0/1和GE1/0/2开启环路检测功能,检测到环路关闭端口,MAP文件的内容如下:
apcfg.txt的内容,要求为文本文件,按照命令行配置的顺序编写文本文件上传至AC即可,AC与AP关联后,通过map-configuration命令下发至AP生效,从而完成对AP的配置。
# apcfg.txt配置文件为:
system-view
interface GigabitEthernet 1/0/1
loopback-detection enable vlan all
loopback-detection action shutdown
quit
interface GigabitEthernet 1/0/2
loopback-detection enable vlan all
loopback-detection action shutdown
OLT可远程配置ONU的环路检测功能,用于检测ONU上的UNI端口是否存在环路。
缺省情况下,ONU通过发送环路检测报文并检测其是否返回本ONU以确认是否存在环路。ONU发送的环路检测报文的源MAC地址为本ONU的MAC地址,这样的报文可能会被其他ONU丢弃,从而导致某种情况下环路检测不到。为解决该问题,可以开启ONU的可疑环路检测功能,使ONU只要收到环路检测报文就认定存在环路。
【命令】
onu protocol loopback-detection action { no-learning | semi-block | shutdown }
undo onu protocol loopback-detection action
【缺省情况】
ONU的环路检测处理模式为semi-block。
【参数】
no-learning:当ONU检测到UNI端口出现环路时,禁止该端口学习MAC地址。
semi-block:当ONU检测到UNI端口出现环路时,禁止该端口学习MAC地址并将该端口的入方向阻塞。
shutdown:当ONU检测到UNI端口出现环路时,自动关闭该端口。
【举例】
# 配置ONU的环路检测处理模式为semi-block。
<Sysname> system-view
[Sysname] interface onu 1/0/1:1
[Sysname-Onu1/0/1:1] onu protocol loopback-detection action semi-block
ONU提供开启/关闭LED灯的功能,用户可先为ONU配置管理IP地址,然后通过telnet进ONU并进入debug模式执行LED灯开启和关闭的功能。
AP侧可实现ONU与AP的led灯同时关闭,需要确认版本,以及旧版本情况下如何操作关灯。
# 配置ONU管理VLAN和管理IP地址
interface Onu2/0/12:1
management-vlan 200 --配置ONU管理VLAN
undo shutdown management-vlan-interface --开启管理VLAN
ip address 10.1.3.2 255.255.255.0 gateway 10.1.3.1 --配置管理IP
port link-type trunk
port trunk permit vlan all
# 在OLT上配置与ONU管理VLAN相同的VLAN并配置IP与ONU管理IP同网段
interface Vlan-interface200
ip address 10.1.3.1 255.255.255.0
# 在OLT上telnet进ONU,默认用户名密码均为admin。
<vlan_leaf1>telnet 10.1.3.2
Trying 10.1.3.2 ...
Press CTRL+K to abort
Connected to 10.1.3.2 ...
Login: admin
Password:
H3C#
# 进入ONU的debug模式,密码为diagnosis。
<H3C>sys
System View: return to User View with Ctrl+Z.
[H3C]debug
Login authentication
Password: *********
【命令】
sys led { on | off }
【缺省情况】
缺省情况下,LED灯处于开启状态。
【举例】
#开启/关闭ONU的LED灯。(以下命令均在ONU的debug模式下配置)
# sys led off
All led is turned off!
# sys led on
All led is turned on!
#
通过以下组网及配置可以实现PON网络下组播流量的转发。
图3-16 组网图
【命令一】
onu protocol transparent-multicast dest-mac mac-address(命令用来开启ONU下所有UNI端口的未知组播报文透传功能)
undo onu protocol transparent-multicast dest-mac mac-address(命令用来关闭ONU下所有UNI端口的未知组播报文透传功能)
【缺省情况】
ONU下的UNI端口的未知组播报文透传功能处于关闭状态,ONU设备可能会丢弃未知组播报文。
【参数】
mac-address :组播MAC地址。支持的组播MAC地址以ONU实际支持情况为准。
【使用指导】
同一ONU接口/ONU冗余接口下,本命令最多可以配置8次,最终生效的是多次配置的集合。
【命令二】
uni uni-number multicast vlan vlan-id-list(命令用来将UNI端口加入用户指定的组播VLAN中)
undo uni uni-number multicast vlan { vlan-id-list | all }(命令用来恢复缺省情况)
【缺省情况】
未将UNI端口加入组播VLAN。
【参数】
uni-number:UNI端口号,取值范围为1~当前ONU的UNI端口数,且支持最大的UNI端口数为79。
vlan-id-list:组播VLAN ID列表。
all:所有的组播VLAN ID。
【使用指导】
同一ONU支持UNI加入的组播VLAN数量最多为15。
每款ONU保留vlan不同,尽量不使用vlan1 to 24
【命令三】
uni uni-number multicast-strip-tag enable(命令用来配置UNI端口删除下行组播流的VLAN Tag)
undo uni uni-number multicast-strip-tag enable(命令用来恢复缺省情况)
【缺省情况】
UNI端口不删除下行组播VLAN Tag。
【参数】
uni-number:UNI端口号,取值范围为1~当前ONU的UNI端口数,且支持最大的UNI端口数为79。
【使用指导】
本命令和uni multicast-translate-tag命令互斥,不能同时配置。
当开启了UNI的未知组播报文透传功能且指定的MAC地址为0100-ffff-ffff时,该UNI不支持uni uni-number multicast-strip-tag enable命令
【命令四】
uni uni-number vlan-mode tag pvid pvid(命令用来配置UNI端口的VLAN标记模式)
undo uni uni-number vlan-mode(命令用来恢复缺省情况)
【缺省情况】
UNI端口的VLAN操作模式为VLAN透传模式。
【参数】
uni-number:UNI端口号,取值范围为1~当前ONU的UNI端口数,且支持最大的UNI端口数为79。
pvid:端口缺省VLAN ID,取值范围为1~4094。
【举例】
interface Onu2/0/10:2
onu protocol transparent-multicast dest-mac 0300-ffff-ffff
uni 1 multicast vlan 111
uni 1 multicast-strip-tag enable
uni 1 vlan-mode tag pvid 111
(1) 检查OLT上ONU上对应的绑定配置是否有误,参考3.5.1 。
(2) 查看一下ONU 注册交互记录:
[H3C-probe] display hardware internal olt onuregrecord olt Olt 6/0/1 count 300
2018/10/23 15:00:55 Onu 6/0/ 1: 1 reg ( set onu config ) # ONU 配置恢复
2018/10/23 15:00:55 Onu 6/0/ 1: 1 reg ( reg finish ) # ONU注册完成
2018/10/23 15:00:55 Onu 6/0/ 1: 1 notify( report up ) # 产品通知平台端口Up
2018/10/23 15:00:55 Onu 6/0/ 1: 1 reg ( auth config )
2018/10/23 15:00:55 Onu 6/0/ 1: 1 reg ( get onu version ) # 获取ONU 版本信息
2018/10/23 15:00:55 Onu 6/0/ 1: 1 reg ( after ctc discover ) # 进入CTC 交互阶段
2018/10/23 15:00:55 Onu 6/0/ 1: 1 reg ( write queue )
2018/10/23 15:00:51 MAC:9428-2ec3-2554 reg ( mpcp auth pass ) # 芯片交互通过
Type 1 LOID: Password:
2018/10/23 15:00:24 Onu 6/0/ 1: 1 notify( report down ) # 产品通知平台端口down
2018/10/23 15:00:24 Onu 6/0/ 1: 1 oam ( EVT: oam lost ) # 芯片间OAM 交互中断
2018/10/23 15:00:24 Onu 6/0/ 1: 1 reg ( write queue )
2018/10/23 15:00:24 MAC:9428-2ec3-2554 dereg ( mpcp time out ) # 芯片间MPCP交互中断
基于上面的记录,就可以分析出交互到了哪个阶段。
有些ONU 的PON 口MAC 地址与标签上的不一致,比如我司的 ET814-E,ET824-E。
规则参见ONU MAC 地址章节。
(3) 如果没有任何ONU记录,说明物理链接就是DOWN的,此时请检查光纤,光模块,ONU是否故障.
(4) 如果只有在mpcp auth pass和mpcp time out 之间在震荡,说明OLT与ONU之间芯片间不匹配。
(5) 如果接口光功率正常、自动绑定的情况下可自动上线,经过初步排查后依旧无法处理可拨打400协助。
在AC+Fit AP的组网架构下,AP无法上线。
在AC+Fit AP的组网架构下,AC和AP之间采用CAPWAP(Control and Provisioning of Wireless Access Points)隧道进行通信,AP上线的过程主要分为:获取AC地址、AP发现AC、AP接入AC、AC向Fit AP下发配置、CAPWAP隧道维持和配置更新六个阶段。AP正常注册至AC上并稳定运行,需要保证上述六个过程均正常。
出现AP无法上线情况的原因包括:
· AC和AP间链路不畅通
· AC上不存在AP的版本文件或版本文件异常
· AC或AP侧配置有误
本类故障的定位思路一般为:首先,判断AC和AP间链路是否畅通;再次,判断AC和AP的运行状态以及配置是否正常;最后,通过收集AC和AP的debugging信息分析问题原因。
本类问题建议按照如下步骤排查:
(1) 检查AC和AP间链路是否畅通
AC和AP之间的网络不通会导致AP无法在AC上线。在AC和AP上分别执行ping命令,查看双方能否相互ping通。需要注意的是:CAPWAP隧道对AC和AP之间的链路丢包比较敏感,要求有线丢包率小于0.1%。同时链路要支持MTU 1500。
# 在AC上,ping 1472字节包(MTU 1500),强制不分片,检测AP和AC间的链路。
<Sysname> ping -s 1472 -f 192.168.100.27
PING 192.168.100.27: 1472 data bytes, press CTRL_C to break
Reply from 192.168.100.27: bytes=1472 Sequence=1 ttl=21 time=20 ms
Reply from 192.168.100.27: bytes=1472 Sequence=2 ttl=21 time=20 ms
Reply from 192.168.100.27: bytes=1472 Sequence=3 ttl=21 time=20 ms
Reply from 192.168.100.27: bytes=1472 Sequence=4 ttl=21 time=20 ms
¡ 如果无法ping通,请检查物理链路、VLAN配置、STP状态是否异常,IP地址是否过期。
¡ 如果时延过大或存在丢包的情况,请检查中间网络是否出现环路。
¡ 如果ping包不丢包,延时正常,执行下一步检查。
(2) 检查AC和AP的运行情况
¡ 检查AC、AP的CPU利用率和内存使用情况
通过display cpu-usage命令和display memory命令查看设备的CUP利用率和内存使用信息。
# 显示设备的CUP利用率统计信息。
<Sysname> display cpu-usage
Unit CPU usage:
70% in last 5 seconds
71% in last 1 minute
75% in last 5 minutes
# 显示设备的内存使用信息。
<Sysname> display memory
Memory statistics are measured in KB:
Slot 1:
Total Used Free Shared Buffers Cached FreeRatio
Mem: 1974712 718496 1256216 0 9740 282512 64.3%
-/+ Buffers/Cache: 426244 1548468
Swap: 0 0 0
当CPU利用率高于70%,表示CPU状态异常,建议从以下方面定位问题。
- 通过display process cpu命令查看当前设备所有进程的CPU使用率信息,定位长时间占用CPU的进程。
- 了解当前网络是否存在重大操作,如:版本升级、整网配置修改、设备掉电、重启等。
当内存利用率高于70%且出现持续增长,表示内存状态异常,建议从以下方面定位问题。
- 通过display process memory命令查看当前设备所有进程的内存使用信息,定位长时间占用内存的进程。
- 了解当前网络是否存在重大操作,如:新增网管需要采集设备信息、新增配置等。
- 通过display logbuffer命令,查看并收集告警、日志等历史信息。
¡ 检查AC和AP的版本文件是否匹配
Fit AP版本随AC版本发布,AC和AP之间需要版本匹配,才能保证AP在AC上上线。AC和AP版本不匹配的情况包括:
- AC不支持对当前AP型号纳管。
- AC和AP之间的版本配套关系有误或版本文件异常。
通过AC的版本说明书中的“配套AP列表”章节,查看AC能否对当前AP进行纳管。配套Fit AP列表中,如果对应的AP型号在“是否打包”一列中为“否”,表示AP的ipe文件未打包到AC的ipe中。如果当前局点有使用该类型AP的需求,需要手工上传AP版本至AC的/apimge目录。用户在AC版本对应的zip压缩包中可以获取未打包AP的ipe文件。
在AC上执行dir命令,可以查看AC上是否存在AP设备的版本文件,请检查AP版本文件是否与AC对应的版本配套,版本文件大小是否异常。
<Sysname> dir flash:/apimge
Directory of flash:/apimge
0 -rw- 19171328 Jul 20 2022 23:51:00 wa4300.ipe
1 -rw- 14518272 Jul 20 2022 23:52:42 wa4300h.ipe
2 -rw- 14533632 Jul 20 2022 23:51:17 wa4300s.ipe
3 -rw- 18617344 Jul 20 2022 23:51:59 wa4600.ipe
4 -rw- 23329792 Jul 20 2022 23:52:26 wa5300.ipe
5 -rw- 19996672 Jul 20 2022 23:51:39 wa5600.ipe
6 -rw- 36929536 Jul 20 2022 23:53:24 wa6500.ipe
1015808 KB total (744748 KB free)
(3) 检查AC侧配置
检查AC侧配置是否有误,具体包括:
¡ 查看License的安装情况和有效期。
用户可以通过display license命令或者Web页面查看设备是否已安装License、授权的有效期。建议在有效期内安装新的授权,以免当前授权过期,影响对应业务的继续运行。有关License申请、激活文件安装、License迁移等操作的使用指导及详细信息,请参见《H3C 无线产品License使用指南(Comware V7 V9)》。
# 显示设备上所有License的详细信息
<Sysname> display license
flash:/license/210235A1JMC1660000282021060717343842697.ak
Feature: APMGR
Product Description: Enhanced Access Controller License,8 APs,for Verticals,for V7
Registered at: 2021-06-07 17:01:55
License Type: Trial (days restricted)
Trial Time Left (days): 0
Current State: Expired
Pre-installed License
Feature: APMGR
Feature Description: PreAtom This is APMGR license
Time Left (days): 0
Current State: Expired
¡ 查看License资源剩余情况和AC最大管理AP数量。
AC允许上线的AP数量受最大支持AP License数量和最大管理AP数量共同限制。通过display wlan ap all命令可以查看AC最大管理AP数量和License资源的剩余情况。
# 显示所有AP的信息。
<Sysname> display wlan ap all
Total number of APs: 3
Total number of connected APs: 3
Total number of connected manual APs: 3
Total number of connected auto APs: 0
Total number of connected common APs: 3
Total number of connected WTUs: 0
Total number of inside APs: 0
Maximum supported APs: 2048
Remaining APs: 2045
Total AP licenses: 128
Local AP licenses: 128
Server AP licenses: 0
Remaining local AP licenses: 125
Sync AP licenses: 0
AP information
State : I = Idle, J = Join, JA = JoinAck, IL = ImageLoad
C = Config, DC = DataCheck, R = Run M = Master, B = Backup
AP name APID State Model Serial ID
ap1 1 R/M WA6320 219801A28N819CE0002T
ap2 2 R/M WA6320 219801A28N819CE0003T
ap3 3 R/M WA6320 219801A28N819CE0004T
¡ 查看与AP相关的配置是否有误
在AC上执行display current-configuration configuration wlan-ap命令可以查看设备上AP相关的配置信息。如果通过MAP文件的方式向指定AP下发配置,则需要进一步查看MAP文件内容。
# 显示设备上与AP相关的配置信息
<Sysname> display current-configuration configuration wlan-ap
#
wlan ap ap1 model WA6320
serial-id 219801A2YF819BE002X6
map-configuration flash:/map.txt
radio 1
radio 2
radio enable
service-template hello
gigabitethernet 1
#
# 显示文件map.txt的内容。
<Sysname> more flash:/map.txt
System-view
vlan 200
interface gigabitethernet1/0/1
port link-type trunk
port trunk permit vlan 200
(4) 检查AP侧配置
查看AP上行口的配置信息。在AP上执行display current-configuration interface命令,检查AP的上行口配置是否被修改。
检查是否在AP上通过wlan management-vlan命令配置了AP的管理VLAN。如果AP侧修改了管理VLAN,则需要检查中间网络设备是否已放通管理VLAN。
(5) 如果故障仍未排除,请收集如下信息,并拨打H3C客户服务热线400-810-0504寻求帮助。
¡ 上述步骤的执行结果。
¡ 设备的配置文件、日志信息、告警信息。
¡ Debug命令输出的调试信息
开启Debug之前,请检查CPU和内存的使用情况,确保开启Debug不会影响设备的正常运行。完成收集后,请及时关闭Debug。
如果需要在控制台显示调试信息,则需要进行如下配置:
a. 配置terminal debugging命令允许调试信息输出到当前终端。
b. 执行info-center enable命令,开启信息中心功能(信息中心功能缺省处于开启状态)。
c. 使用debugging命令打开功能模块的调试信息开关。例如:通过debugging wlan capwap命令用来打开CAPWAP调试信息开关后,业务模块生成的debugging级别的日志信息。
监视终端是指以VTY类型用户线登录的用户终端。如果需要需要在监视终端上显示调试信息,则需要进行如下配置:
d. 配置terminal monitor命令允许日志信息输出到当前终端,配置terminal debugging命令允许调试信息输出到当前终端。
e. 执行info-center enable命令,开启信息中心功能(信息中心功能缺省处于开启状态)。
f. 使用debugging命令打开功能模块的调试信息开关。
AC+FIT AP组网采用集中转发模式时,无线终端可以连接无线网络,但无法取得IP地址,导致终端不能上网。
因为集中转发和本地转发的故障处理步骤不同,首先需要查看当前转发模式。在AC的任意视图下,执行display wlan service-template verbose命令查看无线服务模板的转发模式。Forwarder字段显示为AC时,说明是集中转发。
<AC> display wlan service-template 1 verbose
Service template name : 1
Description : Not configured
SSID : 123
…
Forwarder : AC
本类故障的常见原因主要包括:
· 设备的VLAN配置不正确,导致终端获取不到IP地址。
· 设备的接口配置不正确,导致终端获取不到IP地址。
· 无线终端与DHCP Server中间链路不通。
· 配置基于VLAN的用户隔离功能时,网关实际MAC地址与配置的MAC地址不对应,使得DHCP和ARP广播报文被阻断,导致终端获取不到IP地址。
· 无线终端与DHCP Server间的DHCP报文交互流程出现问题,导致终端获取不到IP地址。
本类故障的诊断流程如图3-16所示。
图3-17 集中转发下无线终端无法获取IP地址故障排查流程图
(1) 检查组网中的VLAN配置
集中转发模式下,客户端的数据流量由AP通过CAPWAP隧道透传到AC,由AC转发数据报文。实际使用中通常会划分AP上线的管理VLAN和无线终端接入的业务VLAN,数据报文通过管理VLAN发送至AC,AC再通过业务VLAN转发数据报文,所以需要在AC转发业务报文的链路上放通业务VLAN,否则终端无法取得IP地址。
业务VLAN有多种配置方式,其优先级为认证授权VLAN>Radio接口绑定VLAN>服务模板指定VLAN。
如图3-17所示,OLT作为网关,AC旁挂在OLT上,AP与ONU相连。需要在AC转发无线业务报文的链路,即AC-OLT链路放通业务VLAN200。
在设备的任意视图下,通过display current-configuration命令查看本设备全部VLAN配置。
¡ 如果设备的VLAN配置不正确,请依据实际情况修改配置。
¡ 如果设备的VLAN配置正确,则继续执行步骤(2)。
物理接口配置错误可能导致VLAN放通失败。如图3-17所示组网中,需要将AC与网关OLT链路的物理接口GE1/0/1和GE1/0/2配置为Trunk模式并允许业务VLAN200通过。
在设备的任意视图下,通过display current-configuration命令查看本设备全部接口配置。
¡ 如果设备的接口配置不正确,请依据实际情况修改配置。
¡ 如果设备的接口配置正确,则继续执行步骤(3)。
如果中间链路网络不通,终端无法通过DHCP方式获取IP地址。有两种方式可以判断中间链路网络是否可通:
a. 在DHCP Server(通常是网关设备,也可能是AC)的任意视图下执行display mac-address命令查看MAC地址表中是否存在无线终端的MAC地址,以及对应VLAN是否正确。如果正确学习到无线终端MAC地址,说明二层网络互通,反之则不通。
<Sysname> display mac-address
MAC Address VLAN ID State Port/Nickname Aging
0008-2246-da06 200 Client WLAN-BSS1/0/527 N
5098-b853-5201 790 Learned BAGG1 Y
b. 为无线终端手动配置与网关处于同一网段的静态IP地址,再去Ping网关。如果Ping通,则说明中间链路网络互通。
¡ 如果中间链路网络不通,请排查中间链路网络故障。
¡ 如果中间链路网络互通,请继续执行步骤(4)。
(4) 查看基于VLAN的二层隔离功能配置
为了降低骨干网络对无线局域网的广播报文数量,无线网络可能配置了基于VLAN的二层隔离。一般将permit-mac配置为网关的MAC地址,当网络存在调整,网关MAC地址变化时,如果没有修改二层隔离的配置,会造成广播报文不通的情况,此时无线终端无法通过DHCP方式获取IP地址。典型的配置如下:
# 在VLAN 200上开启用户隔离功能,允许访问MAC地址为00bb-ccdd-eeff的设备(允许的MAC地址通常为网关MAC地址),同时禁止有线用户(permit-mac允许的mac地址除外)发送广播、组播报文给无线用户。
<AC> system-view
[AC] user-isolation vlan 200 enable
[AC] user-isolation vlan 200 permit-mac 00bb-ccdd-eeff
[AC] undo user-isolation permit-broadcast
查看基于VLAN的二层隔离功能配置的方法为,在AC的任意视图下执行display user-isolation statistics命令,以下文为例:
<Sysname> display user-isolation statistics
Number of VLANs enabled with user isolation: 2
Number of VLANs disabled with user isolation: 1
VLAN Status Drops Permit-Unicast Permitted MACs Permit IPv4|I
Pv6 Acl
4 Enabled 0 Y N/A 3001|3002
200 Enabled 0 Y 00bb-ccdd-eeff N/A|N/A
5 Enabled 0 Y N/A N/A|N/A
¡ 如果基于VLAN的二层隔离功能配置不正确,请参照举例修改配置。
¡ 如果基于VLAN的二层隔离功能配置正确,或没有配置本功能,请继续执行步骤(5)。
(5) 如果故障仍然未能排除,请收集如下信息,并拨打热线400-810-0504求助。
¡ 在AP的上行接口抓包来判断DHCP报文交互过程。
设备间DHCP交互不完整时,终端无法获取IP地址。如所示,完整的DHCP交互流程,需要完成四个报文交互:
表3-6 完整的DHCP交互流程
|
DHCP报文类型 |
描述 |
|
DHCP Discover |
DHCP客户端会在本地网络内以广播方式发送请求报文,即DHCP Discover报文,目的是发现网络中的DHCP服务器。 所有收到Discover报文的DHCP服务器都会发送回应报文,DHCP客户端据此可以知道网络中存在的DHCP服务器的位置。 |
|
DHCP Offer |
DHCP服务器收到Discover报文后,会在所配置的地址池中选取IP地址,加上相应的租约期限、网关和DNS服务器等信息,通过Offer报文告知客户端该服务器可用。 |
|
DHCP Request |
DHCP客户端可能会收到很多Offer报文,客户端通常选择第一个回应Offer报文的服务器作为自己的目标服务器,并回应一个广播Request报文通告选择的服务器。在DHCP客户端成功获取IP地址后,也会通过Request报文续延租期。 |
|
DHCP ACK |
DHCP服务器收到Request报文后,根据Request报文中携带的用户MAC来查找是否存在相应的租约记录,若存在,则发送ACK报文作为回应,通知用户可以使用分配的IP地址。 |
图3-19 抓包DHCP报文完整交互过程
¡ 在DHCP Server通过debugging dhcp server命令收集信息,判断终端是否发送了DHCP请求。
收到客户端发送的DHCP Discovery报文的Debug信息如下:
*Oct 14 11:43:09:422 2020 AC DHCPS/7/PACKET:
From 0.0.0.0 port 68, interface M-GigabitEthernet0/0/0
Message type: REQUEST (1)
Hardware type: 1, Hardware address length: 6
Hops: 0, Transaction ID: 650682081 //同一个DHCP交互关注TID是否相同
Seconds: 0, Broadcast flag: 1
Client IP address: 0.0.0.0 Your IP address: 0.0.0.0
Server IP address: 0.0.0.0 Relay agent IP address: 0.0.0.0
Client hardware address: 782c-2962-b098
Server host name: not configured
Boot file name: not configured
DHCP message type: DHCPDISCOVER (1) // DHCP报文类型
¡ 上述步骤的执行结果。
¡ 设备的配置文件、日志信息、告警信息。
AC+FIT AP组网采用本地转发模式时,无线终端可以连接无线网络,但无法取得IP地址,导致终端不能上网。
因为集中转发和本地转发的故障处理步骤不同,首先需要查看当前转发模式。在AC的任意视图下,执行display wlan service-template verbose命令查看无线服务模板的转发模式。Forwarder字段显示为AP时,说明是本地转发。
<AC> display wlan service-template 1 verbose
Service template name : 1
Description : Not configured
SSID : 123
…
Forwarder : AP
本类故障的常见原因主要包括:
· 设备的VLAN配置不正确,导致终端获取不到IP地址。
· 设备的接口配置不正确,导致终端获取不到IP地址。
· 无线终端与DHCP Server中间链路不通。
· 无线终端与DHCP Server间的DHCP报文交互流程出现问题,导致终端获取不到IP地址。
· 配置基于VLAN的用户隔离功能时,下发给FIT AP的网关实际MAC地址与配置的MAC地址不对应,使得DHCP和ARP广播报文被阻断,导致终端获取不到IP地址。
· 在需要终端漫游的场景下,AP上行未能放通全部业务VLAN,终端漫游时可能无法上线。
图3-20 本地转发下无线终端无法获取IP地址故障排查流程图
(1) 检查组网中的VLAN配置
本地转发模式下,无线终端和AC间会通过CAPWAP隧道交互控制报文,并由AP转发数据报文。实际使用中通常会区别AP上线的管理VLAN和无线终端接入的业务VLAN,所以需要在AP转发业务报文的链路上放通业务VLAN,否则终端无法取得IP地址。
业务VLAN有多种配置方式,其优先级为认证授权VLAN>Radio接口绑定VLAN>服务模板指定VLAN。
如图3-20所示,OLT作为网关,AC旁挂在OLT上,AP与ONU相连。在AP转发无线业务报文的链路,即OLT-ONU-AP链路放通业务VLAN200。
检查VLAN配置的方法为,在设备的任意视图下,通过display current-configuration命令查看全部VLAN配置。
¡ 如果设备的VLAN配置不正确,请依据实际情况修改配置。
¡ 如果设备的VLAN配置正确,则继续执行步骤(2)。
物理接口配置错误可能导致VLAN放通失败。如图3-20所示组网中,正确的物理接口配置如下:
a. 本地转发模式下,需要将AP的与上行设备的物理接口加入客户端上线的VLAN。可以在AC上通过编辑好的MAP文件,或远程配置功能下发给AP,本章节以MAP文件为例进行介绍。
无线终端在VLAN 200上线,则需要将AP与上行相连的接口interface GigabitEthernet 1/0/1加入VLAN 200,MAP文件的内容如下:
apcfg.txt的内容,要求为文本文件,按照命令行配置的顺序编写文本文件上传至AC即可,AC与AP关联后,通过map-configuration命令下发至AP生效,从而完成对AP的配置。
# apcfg.txt配置文件为:
system-view
vlan 200
quit
interface GigabitEthernet 1/0/1
port link-type trunk
port trunk permit vlan 200
b. 检查OLT-ONU-AP链路的端口是否放通业务VLAN200。
检查中间设备配置的方法为,在任意视图下通过display current-configuration命令查看中间设备全部VLAN和接口配置。
¡ 如果设备的接口配置不正确,请依据实际情况修改配置。
¡ 如果设备的接口配置正确,则继续执行步骤(3)。
如果中间链路网络不通,终端无法通过DHCP方式获取IP地址。有两种方式可以判断中间链路网络是否可通:
a. 在DHCP Server(通常是网关设备,也可能是AC)的任意视图下执行display mac-address命令查看MAC地址表中是否存在无线终端的MAC地址,以及对应VLAN是否正确。如果正确学习到无线终端MAC地址,说明二层网络互通,反之则不通。
<Sysname> display mac-address
MAC Address VLAN ID State Port/Nickname Aging
0008-2246-da06 200 Client WLAN-BSS1/0/527 N
5098-b853-5201 790 Learned BAGG1 Y
b. 为无线终端手动配置与网关处于同一网段的静态IP地址,再去Ping网关。如果Ping通,则说明中间链路网络互通。
¡ 如果中间链路网络不通,请排查中间链路网络故障。
¡ 如果中间链路网络互通,请继续执行步骤(4)。
(4) 检查下发给FIT AP的基于VLAN的二层隔离功能配置
为了降低骨干网络对无线局域网的广播报文数量,无线网络可能配置了基于VLAN的二层隔离。一般将permit-mac配置为网关的MAC地址,当网络存在调整,网关MAC地址变化时,如果没有修改二层隔离的配置,会造成广播报文不通的情况,此时无线终端无法通过DHCP方式获取IP地址。本地转发下,需要将配置下发至AP,典型的配置如下:
# apcfg.txt配置文件为:
system-view
user-isolation vlan 200 permit-mac 000f-e212-7788
user-isolation vlan 200 enable
¡ 如果基于VLAN的二层隔离功能配置不正确,请参照举例修改配置。
¡ 如果基于VLAN的二层隔离功能配置正确,或没有配置本功能,请继续执行步骤(5)。
(5) 查看漫游场景下AP是否放通全部业务VLAN
在漫游场景下,如果无线网络中存在多个终端上线的业务VLAN,则无线网络中的每个AP都需要在上行接口放通全部业务VLAN,否则在终端漫游时,可能无法连接至无线网络。如图3-21所示,需要在3个AP的GE1/0/1接口将VLAN100、VLAN200和VLAN300全部放通。通过MAP文件向AP下发配置的操作请参考步骤(2)。
¡ 如果漫游场景存在多个业务VLAN且AP上行接口未全部放通,请依据实际情况进行修改。
¡ 如果所有AP上行接口放通了全部业务VLAN,则故障原因可能是DHCP Server与无线客户端间的DHCP报文交互出现问题,请继续执行步骤(6)。
(6) 如果故障仍然未能排除,请收集如下信息,并拨打热线400-810-0504求助。
¡ 在AP的上行接口抓包来判断DHCP报文交互过程。
设备间DHCP交互不完整时,终端无法获取IP地址。完整的DHCP交互流程,需要完成四个报文交互:
表3-7 完整的DHCP交互流程
|
DHCP报文类型 |
描述 |
|
DHCP Discover |
DHCP客户端会在本地网络内以广播方式发送请求报文,即DHCP Discover报文,目的是发现网络中的DHCP服务器。 所有收到Discover报文的DHCP服务器都会发送回应报文,DHCP客户端据此可以知道网络中存在的DHCP服务器的位置。 |
|
DHCP Offer |
DHCP服务器收到Discover报文后,会在所配置的地址池中选取IP地址,加上相应的租约期限、网关和DNS服务器等信息,通过Offer报文告知客户端该服务器可用。 |
|
DHCP Request |
DHCP客户端可能会收到很多Offer报文,客户端通常选择第一个回应Offer报文的服务器作为自己的目标服务器,并回应一个广播Request报文通告选择的服务器。在DHCP客户端成功获取IP地址后,也会通过Request报文续延租期。 |
|
DHCP ACK |
DHCP服务器收到Request报文后,根据Request报文中携带的用户MAC来查找是否存在相应的租约记录,若存在,则发送ACK报文作为回应,通知用户可以使用分配的IP地址。 |
图3-23 抓包DHCP报文完整交互过程
¡ 在DHCP Server通过debugging dhcp server命令收集信息,判断终端是否发送了DHCP请求。
收到客户端发送的DHCP Discovery报文的Debug信息如下:
*Oct 14 11:43:09:422 2020 AC DHCPS/7/PACKET:
From 0.0.0.0 port 68, interface M-GigabitEthernet0/0/0
Message type: REQUEST (1)
Hardware type: 1, Hardware address length: 6
Hops: 0, Transaction ID: 650682081 //同一个DHCP交互关注TID是否相同
Seconds: 0, Broadcast flag: 1
Client IP address: 0.0.0.0 Your IP address: 0.0.0.0
Server IP address: 0.0.0.0 Relay agent IP address: 0.0.0.0
Client hardware address: 782c-2962-b098
Server host name: not configured
Boot file name: not configured
DHCP message type: DHCPDISCOVER (1) // DHCP报文类型
¡ 上述步骤的执行结果。
¡ 设备的配置文件、日志信息、告警信息。
ONU收光较强,无法注册或烧坏设备,使用了1分4的分光器,但又没加光衰,很容易烧坏。
一般10G ONU光功率范围为-10~-28,1G ONU光功率范围为-3~-28具体请在官网查询:https://www.h3c.com/cn/Service/Document_Software/Document_Center/EPON/
10G ONU有收光保护,无法注册可以增加光衰后重启完成注册。
OLT单板的CPU是单核的,如果高于50%利用率时需要重视。
(1) 首先在OLT上查看哪个进程高,如果是ARP或者DHCP报文过多,需要考虑是否在做好了端口、接口放通VLAN裁剪等优化配置。
[olt-probe]display process cpu slot 7
CPU utilization in 5 secs: 38.5%; 1 min: 32.0%; 5 mins: 28.4%
JID 5Sec 1Min 5Min Name
48 1.8% 1.6% 1.2% [RECV] ONU下上来的arp报文多时会导致该进程占用升高
57 0.0% 0.0% 0.0% [DVP] 报文透传,板间通信,控制通道
65 4.8% 3.3% 3.5% [bPAR] 该进程正常大约3%左右
72 3.6% 4.0% 4.0% [bcmCNTR.0]
75 6.5% 5.4% 5.4% [bLK0]
196 10.8% 8.2% 5.5% [T_RT] ONU下上来的 arp报文多时会导致该进程占用升高
203 4.3% 3.0% 2.0% [SC_CORE] ONU上来的arp报文多时会导致该进程占用升高
211 0.0% 0.0% 0.0% [bRX1]ONU下上来的dhcp报文多时会导致该进程占用升高
(2) 其次通过查看是哪类报文数量多。
[switch_75E-probe]debug rxtx softcar show slot 2
ID Type RcvPps Rcv_All DisPkt_All Pps Dyn Swi Hash ACLmax
29 ARP 543 37089908 0 2000 S On SMAC 8
ONU读取MIB慢。
通过命令debugging snmp packet可以看下具体哪个节点读取慢。
通过命令display udp查看缓存是否满了,是否有丢包,是否有多个网管软件在读取。
一般是个别ONU收光信号不好,导致oam丢包,导致了读取慢。
仅1G EPON OLT口特有问题,配置手册上有说明。
非标准MAC地址指的是第一字节的第7比特位为1的MAC地址。例如地址02-10-94-00-00-02(16进制)对应00000010-...(二进制),该地址为非标准MAC地址。
(1) 进入系统视图。
system-view
(2) 进入FTTH视图。
ftth
(3) 配置非标准MAC地址报文的处理模式。
onu invalid-address mode { abandon | broadcast | unicast }
缺省情况下,非标准MAC地址报文的处理模式为丢弃模式。
要登录AP和ONU时,需要保证OLT和ONU互通,AC和AP已经建立CAPWAP隧道,并在AC的Probe视图下开启了允许Telnet AP的命令。
(1) 首先需要保证AP和AC能够Ping通,并建立起CAPWAP隧道。
(2) 在AC的Probe视图下开启允许Telnet AP的命令。
<Sysname> system-view
[Sysname] probe
[Sysname-probe] wlan ap-execute all exec-console enable
(3) 通过Telnet AP的IP地址来登录AP(一般默认密码为h3capadmin,具体以AP型号为准)。
<AC> telnet 117.0.0.10
Trying 117.0.0.10 ...
Press CTRL+K to abort
Connected to 117.0.0.10 ...
******************************************************************************
* Copyright (c) 2004-2022 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
Password:
(1) 在OLT上配置ONU的管理VLAN及管理IP地址。
interface Onu2/0/12:1
management-vlan 200 --配置ONU管理VLAN
undo shutdown management-vlan-interface --开启ONU的管理VLAN接口
ip address 10.1.3.2 255.255.255.0 gateway 10.1.3.1 --配置管理IP地址
port link-type trunk
port trunk permit vlan all
(2) 在OLT上配置与ONU管理VLAN相同的VLAN,并配置IP地址与ONU管理IP地址同网段。
#
interface Vlan-interface200
ip address 10.1.3.1 255.255.255.0
#
(3) 确保OLT口放通了对应的管理VLAN,保证OLT的IP地址和ONU的管理IP地址能够Ping通,通过Telnet登录ONU(默认用户名密码均为admin)。
<OLT> telnet 10.1.3.2
Trying 10.1.3.2 ...
Press CTRL+K to abort
Connected to 10.1.3.2 ...
Login: admin
Password:
H3C#
ONU支持在ONU视图下配置升级和FTTH视图下配置全局升级。
默认是H3C方式升级,有些较老的版本不支持,要指定CTC方式升级:
[PE1-ftth]update onu type ET254-G-S protocol-type ctc filename ET254GS110.app
[PE1-Onu4/0/12:1]update onu protocol-type h3c filename ET254GS110.app
如下命令可查看ONU升级状态:
[PE1-Onu4/0/12:1]dis epon onu-update interface Olt 4/0/12
Port Model Version Protocol State
Onu4/0/12:1 ET254-G-S H3C Not Configured
Onu4/0/12:2 EGT358-POTS 109 H3C Not Configured
ONUs found: 2
AP建议使用官网最新版本、ONU建议使用官网最新版本、OLT使用iservice版本推荐功能的推荐版本。
(1) 使用的光模块速率等级,应与产品端口说明保持一致。比如,当业务端口为2个10G/1GSPF+口时,表示该设备的2个光口只能使用10G光模块或者1G光模块。
(2) 同一根光纤两头使用的光模块速率等级应保持一致。
(3) 单模光模块,应配套使用单模光纤。
(4) 多模光模块,应配套使用多模光纤。
(5) 40km光模块使用短距离光纤时,应考虑加入光衰减器。
按每公里衰减0.35dB计算,如果短距离光纤为1km,建议加入(40-1)*0.35 =13.65,根据光衰种类取小,即10dB光衰减器即可。
(6) 使用双光纤光模块时,同一根光纤两头使用的光模块应保持一致。
(7) 使用单光纤光模块(即BIDI光模块)时,同一根光纤两头使用的光模块需要成对使用。比如下面两款表示成对BIDI光模块:
· 光模块-SFP千兆BIDI光模块-TX1490/RX1310,10km,LC
· 光模块-SFP千兆BIDI光模块-TX1310/RX1490,10km,LC
通过参考各产品光模块适配表判断光模块与设备是否适配。访问如下官网文档手册中查看光模块适配关系:
以S7500X为例:
https://www.h3c.com/cn/Service/Document_Software/Document_Center/Switches/Catalog/S7500E/S7500X/Learn_Products/Hardware_Information/H3C_S7500X-3823/?CHID=694790
· 10G以上速率多模光模块建议使用水绿色的OM3多模光纤。
· 使用橙色的OM1多模光纤长度不得超过30m。
· 多模光模块不得使用亮黄色的单模光纤。
极性用来保证模块发出的信号经过传输到达另一只模块的接收端,当极性出现错误时两侧模块一般均无收光。
多芯MTP/MPO系统推荐使用B型(交叉)方法。
使用40km以上光模块进行外环或短光纤对接会导致接收端烧毁。出现故障现象时,接收光功率持续过高,且拔掉光纤也无法恢复。
波长不匹配也可能导致收光异常的现象,尤其是采用BIDI和WDM技术的单模光模块。因此需要保证两端模块的波长匹配。
当不同厂家设备端口对接无法UP、端口外环或对接测试正常UP时应重点排查端口配置是否一致。排查包括速率、双工模式、FEC配置。
用户侧光口故障分析的前提条件是假定光模块已与H3C设备做过充分的适配测试。如果没有做过适配则会出现各种问题。未与H3C设备进行过适配的光模块,主要是指客户自行采购的第三方光模块。下面是光模块一些常见问题的分析方法。
第三方光模块是指非H3C生产销售的光模块。这些模块方案设计千差万别,实际应用中可能与H3C设备存在一些兼容性问题。常见的问题有:
· 模块不识别。
· 寄存器无法访问。
· 高速信号参数失配。
display transceiver interface显示信息中,Transceiver Type显示UNKNOWN_SFP_PLUS或者UNKNOWN_QSFP_PLUS等类似信息。这类问题一般在非MSA标准定义的特殊光模块类型,如AOC、ZR、BIDI、CWDM、DWDM等光模块上比较常见。原因一般是没有明确的行业标准规定,光模块厂家按照自己的理解进行设计,导致存在寄存器设置与H3C软件识别流程不匹配的情况。H3C销售的光模块寄存器是经过特殊定制的且与H3C软件识别流程相匹配,所以不存在识别问题。
设备通过SCL/SDA总线读写光模块寄存器,当如下情况出现是可能出现光模块寄存器无法访问的故障现象:
· 上下拉电阻设置不合适
· 模块与设备的总线频率
· 时序不一致
· 或者遇到部分协议规定范围外的总线操作
而光模块一般都无法自动恢复,可能需要手动插拔故障才能消除,严重时甚至可能会导致设备宕机。
高速信号是用来传输数据业务的。相对SCL/SDA这样的低速管理信号,参数适配更为复杂。事实上H3C认证通过的大部分光模块都或多或少进行过一些信号调整,以确保在高低温等不同条件下都能够充分适配H3C绝大多数主机或板卡。而第三方光模块往往是一套默认的出厂参数,适配性肯定不如H3C光模块。即使前期做过一些小规模的测试,但很难覆盖到不同个体间的差异性,比如存在部分模块与某些特定端口、甚至特定设备无法兼容的情况。
光模块命令行常见异常显示日志信息:
(1) 光模块不在位时显示日志信息:The transceiver is absent。
表示接口没有检测到模块插入,即光模块不在位。出现该日志后,可通过插人光模块来尝试解决,若光模块插进后,仍然存在问题,可能是光模块与接口之间的物理连接发生了故障,比如金手指接触不良。
(2) 模块与接口间的管理接口故障时显示日志信息:Transceiver info I/O error或Reading information from the transceiver failed。
表示光模块与接口间的管理接口故障。此时光模块寄存器信息一般都不可访问,需要通过交叉验证分析原因。
交叉验证,即将异常光模块和接口与正常相同型号光模块和接口交叉互换,来判断具体是光模块故障还是设备接口故障。
(3) 只读寄存器的值存在校验和错误时显示日志信息:Transceiver info checksum error。
Checksum error是光模块某些只读寄存器的值存在校验和错误,一般不影响业务。导致该问题有以下两种可能性:
a. 光模块的只读寄存器被永久的改写了。
b. 插入光模块时,软件没有读到正确的值。此种情况一般只需要在光模块稳定工作后重新读一下寄存器信息即可做出准确判断。
(4) The transceiver does not support this function.
表示不支持查看制造信息或诊断信息。导致出现该问题的可能性有两种:
a. 光模块本身不支持,是正常现象。这些模块包括:
第三方光模块(设备软件未安装第三方光模块license)
电缆及少数光模块,具体型号请向H3C技术支持人员确认。
b. 光模块某些寄存器信息被改写,被软件识别为第三方光模块或伪模块。这种情况建议将光模块返回H3C售后进行分析。
(5) 诊断电压异常。
光模块正常工作的电压范围一般为3.135~3.465V之间。如果显示工作电压轻微超出正常工作电压时,可能与主板二次电源有关,可通过查看相邻物理端口的光模块电压是否存在相同现象判断。当显示工作电压超出正常工作电压较多时,说明电压诊断已经不准了,通常可以判断为光模块故障。
如果电压真的过低或过高,光模块内部器件工作异常,是无法读到任何诊断数据的。
(6) 诊断温度异常。
光模块诊断温度与其被使用的环境温度有关。由于光模块功耗及设备散热设计差异,一般来说光模块的诊断温度会比环境温度高5~25℃。如果出现现实应用中不可能的温度值,如图4-1所示的诊断温度为-94℃,一般是光模块故障。
(7) 发送偏置电流、光功率诊断数值超出告警范围。
发送偏置电流、发送光功率和接收光功率三项参数没有固定的正常工作范围,不同型号的光模块有所不同。发送光功率和发送偏置电流都用于对发送端器件的监控。
a. 正常工作时光模块的发送光功率大小主要与温度有关,温度恒定时发光功率一般不会有较大变化,因此如果发光功率明显降低则说明光模块可能已经发生一定程度的失效。
b. 发送偏置电流与发送光功率线性相关,因此如果发现发光功率正常而发送偏置电流超出范围也可以判定为光模块故障。TX Bias明显的异常值一般<3mA,关光时除外。
(8) 接收光功率诊断数值超出告警范围。
接收光功率理论上等于对端发光功率减去链路损耗,收光超出范围可能是对端光模块发送故障、链路故障或者本端光模块接收故障,一般情况下是以对端发送故障的概率较高。对于多通道LC接口的光模块,当链路故障时,由于共享同一条链路,一般情况下,所有通道都会收光异常;如果是模块故障,一般只有少数通道收光异常。
(9) 诊断光功率显示-36.96dBm或-40dBm。
当诊断光功率显示为-36.96dBm或-40dBm时一般被认为是无光,只要光模块支持光功率诊断功能,正常应用中不会出现这样的数值。
如果发光是该数值,要确认是否存在“关光”的条件:
a. 包括端口是否shutdown。
b. 模块是否进入“低功耗”。
c. “故障”或“静噪”(单板无电信号输出时模块不发光)状态。
如果收光是该数值,并不一定是完全“无光”:
a. 当接收光功率低于某个值时,已经远远超出了光器件接收能力,此时寄存器只能按照一个最小值及-36.96dBm或-40dBm显示。
b. 当接收光功率高于某个值时,也可能会触发保护机制将光器件“关断”,此时光器件也无法再接收,这种情况常见于40km以上光模块。
(10) 40G和100G多通道光模块通道间光功率差异过大。
40G速率以上的光模块大多包含多路光,一般来说H3C光模块每一路的收发光功率会在出厂时自动调校好,不同的通道间相差一般不会很大,这个差值没有固定的标准,不同类型光模块要求具体值也不一样。
a. 如果发现不同通道间的发光功率差值超过3dB以上,可能存在一定的器件失效风险,请收集模块的条码及诊断信息后向H3C技术支持人员确认。
b. 对于不同通道间的接收光功率差值超过3dB的情况,要具体问题具体分析。对端模块发送故障、光纤异常或者本端接收侧故障都是有可能的。
(11) 存在任何告警信息
端口正常UP过程中不应该产生任何的告警信息,如发现光模块存在告警应及时排查两侧设备、模块以及链路中可能存在的问题,尽可能将所有的告警消除。尤其要重视high alarm等告警类型,像温度、电压、接收光功率过高告警可能导致模块永久性损坏。
光模块的所有信息基本上都是从寄存器原始数据中解析得到的。综上所述,异常情况主要包括如下几种类型:
a. 寄存器接口硬件故障导致寄存器不可读
硬件故障最常见的现象是诊断、告警及寄存器信息不可读,如display transceiver diagnosis interface和display transceiver alarm interface命令行返回Transceiver info I/O error或Reading information from the transceiver failed。这种情况下只要通过交叉验证就可以判断是端口还是模块故障。
因为部分信息并不是实时读取,而是在模块插入时缓存的,只有在检测到模块插拔时才会清除或更新缓存。所以如下命令仍然可能在接口故障时正常显示:
display transceiver interface
display transceiver manuinfo interface
display transceiver information interface
display transceiver moduleinfo interface
b. 软件问题导致读取的原始数据不正确或解析处理错误。
软件问题包括网络设备软件与光模块固件:
-网络设备软件主要是把从寄存器中读到的原始数据“翻译”成与光模块相关的参数信息,比如波长、发送接收光功率等。当设备软件访问光模块的时机/方式不正确、或“翻译”的方法有误时,很容易得到错误的数据,此时升级设备软件就能解决问题。错误的设备软件操作还可能导致光模块寄存器数值被永久性的改写,如出现日志Transceiver info checksum error或提示“NOT sold by H3C”就可能属于这种情况。
-光模块本身并不是纯硬件,大部分光模块都是有固件运行。当固件存在运行错误时,就可能出现像上面电压、温度、光功率等值明显不符合逻辑的现象。一般来说,此类问题发生的概率非常低,而且都是在长时间运行后出现,手动插拔一下故障现象就会消失。由于绝大多数光模块本身不支持在线升级,如果用户无法接受,也可以按照硬件故障的方式进行更换。
(12) 链路“闪断”问题
链路“闪断”问题一般是指端口在正常工作中出现的瞬时DOWN掉后马上又恢复正常UP的事件。之所以单独说明是由于客户现场这类问题的复现往往有较大的随机性,并且介入定位时故障现象大概率已经消失,一般无法及时抓取或保存故障时刻的光模块和端口状态快照,给问题分析定位带来了很大的困难。模块相关分析建议在系统侧对光模块和端口进行持续的参数及状态监控:
a. 监控包含故障发生时刻前后的光模块诊断数据,重点观察光功率是否有明显的变化。
b. 监控光模块告警记录,确认告警产生的时间与“闪断”时间是否一致。
如果用户没有条件进行上述操作,请联系H3C技术支持工程师进行定位处理。
支持
